Desenvolvedor sênior contratado após passar por 4 entrevistas em vídeo instalou malware 25 minutos depois de receber o notebook da empresa

Caso em que o Departamento de Justiça dos EUA condenou, em 15 de abril, dois cidadãos americanos que ajudaram profissionais de TI norte-coreanos a se infiltrar em empresas dos EUA a 108 meses e 92 meses de prisão, respectivamente

O método central consistia em reunir dezenas de notebooks corporativos em residências nos EUA e, por meio de um switch KVM, permitir que profissionais de TI norte-coreanos em Dandong e Shenyang, na China, trabalhassem remotamente

Por fora, parecia tudo legítimo: IP americano, conta bancária americana, notebook americano e identidade de cidadão dos EUA, mas quem realmente executava o trabalho eram profissionais de TI norte-coreanos

Segundo o anúncio do Departamento de Justiça, houve roubo de identidade de mais de 80 americanos, prejuízos a mais de 100 empresas dos EUA e cerca de US$ 5 milhões foram transferidos para a Coreia do Norte

Em alguns casos, foi relatado que até dados controlados pelo ITAR de uma empresa californiana de defesa com IA foram acessados por cúmplices no exterior, ampliando o caso de uma simples fraude de contratação para um problema de vazamento de tecnologia de defesa

O setor de segurança acredita que o problema é muito mais amplo

O CTO da Mandiant mencionou na RSAC 2025 que quase todos os CISOs reconheceram ter contratado pelo menos um profissional de TI norte-coreano, e em alguns casos dezenas deles

O Google também afirmou ter detectado candidatos norte-coreanos em seu próprio pipeline de recrutamento, e algumas startups de criptomoedas dizem que há um número esmagador de candidatos norte-coreanos a vagas de engenharia se passando por americanos

A empresa de treinamento em conscientização de segurança KnowBe4 também divulgou um caso em que foi vítima

Mesmo após background check, quatro entrevistas em vídeo e até verificação por foto, o candidato foi aprovado, e o Mac workstation enviado pela empresa executou malware apenas 25 minutos após chegar

Recentemente, a tática evoluiu para exigir bitcoin mantendo código-fonte e dados internos como reféns após a demissão

Não se trata apenas de um esquema para sacar salários, mas de um ataque composto que pode se conectar a ameaça interna, ransomware e grupos de hackers patrocinados por Estado

A mudança central é que a Coreia do Norte não está apenas ganhando dinheiro com hacking ou roubo de criptomoedas, mas passou a gerar receita entrando como “funcionário” no sistema formal de folha de pagamento de empresas americanas

Se antes a aplicação das sanções contra a Coreia do Norte se concentrava em instituições financeiras, empresas de transporte marítimo e rastreamento de empresas de fachada, este caso mostra que o próprio RH, o recrutamento e a infraestrutura de trabalho remoto podem se tornar caminhos de evasão de sanções

A essência do caso é que isso não é apenas um problema da equipe de segurança: o mercado de contratação como um todo virou superfície de ataque

Um candidato que passou por entrevista, verificação de identidade, envio de equipamento e acesso à rede interna pode, na realidade, ser um desenvolvedor que nem sequer está nos EUA, o que torna isso algo próximo de um novo tipo de ataque à cadeia de suprimentos na era da contratação remota