A operação Contagious Interview usou perfis falsos, repositórios maliciosos e projetos de desenvolvimento para atingir candidatos e expor empresas de IA, criptomoedas, finanças, TI, marketing e software.
| Componente | Campanha PurpleBravo, também associada à atividade Contagious Interview, com uso de personas em LinkedIn, repositórios GitHub, projetos maliciosos de VS Code, BeaverTail e GolangGhost. |
| Vetor | Abordagens de recrutamento e entrevistas de emprego falsas induzem candidatos a executar código malicioso, inclusive em dispositivos corporativos usados para avaliações técnicas. |
| Impacto | Foram identificados 3.136 endereços IP ligados a prováveis alvos e 20 organizações potenciais em setores como IA, criptomoedas, serviços financeiros, TI, marketing e desenvolvimento de software. |
| Prioridade | Reforçar controles sobre avaliações técnicas externas, execução de projetos de terceiros, uso de dispositivos corporativos por candidatos e detecção de comunicação com infraestrutura C2. |
| Infraestrutura | Servidores C2 distribuídos por 17 provedores foram administrados com uso de Astrill VPN e intervalos de IP na China, com sobreposição tática com atividade ligada a trabalhadores de TI norte-coreanos. |
| Período | A atividade contra os 3.136 endereços IP foi avaliada entre agosto de 2024 e setembro de 2025. |
A campanha PurpleBravo ampliou o uso de entrevistas de emprego falsas como ponto de entrada contra profissionais e empresas de tecnologia. A atividade, acompanhada sob o guarda-chuva Contagious Interview, teve 3.136 endereços IP individuais ligados a prováveis alvos e 20 organizações potenciais identificadas em setores de alto valor operacional, incluindo inteligência artificial, criptomoedas, serviços financeiros, serviços de TI, marketing e desenvolvimento de software. Os alvos foram observados principalmente em South Asia e North America, com empresas potencialmente vitimadas em Belgium, Bulgaria, Costa Rica, India, Italy, Netherlands, Pakistan, Romania, United Arab Emirates e Vietnam.
O fluxo observado explora confiança em processos seletivos técnicos. Em vez de depender apenas de anexos ou páginas falsas tradicionais, a operação usa personas que se apresentam como desenvolvedores ou recrutadores, repositórios GitHub preparados para entrega de malware e projetos maliciosos de Microsoft Visual Studio Code. O objetivo é fazer com que candidatos executem código sob a aparência de avaliação técnica. Em vários casos, a execução teria ocorrido em dispositivos corporativos, o que muda o impacto: o alvo inicial é uma pessoa em busca de oportunidade, mas a exposição passa a alcançar ativos da organização que forneceu ou controla aquele endpoint.
A cadeia começa com engenharia social direcionada. Foram detectadas quatro personas no LinkedIn potencialmente associadas à PurpleBravo, apresentadas como desenvolvedores e recrutadores e vinculadas à cidade ucraniana de Odesa. Essas identidades funcionam como mecanismo de credibilidade para iniciar conversas profissionais, propor entrevistas ou avaliações e conduzir a vítima a ambientes de desenvolvimento controlados pelo operador. O uso de GitHub e de projetos de VS Code torna a isca mais plausível para pessoas de engenharia, porque desloca a interação para ferramentas que fazem parte do trabalho normal de software.
Os repositórios maliciosos foram desenhados para entregar famílias já associadas à atividade, como BeaverTail. BeaverTail é descrito como infostealer e loader em JavaScript, enquanto GolangGhost, também conhecido como FlexibleFerret ou WeaselStore, é uma backdoor baseada em Go e derivada do ferramental aberto HackBrowserData. A presença simultânea de um coletor/carregador e de uma backdoor indica um fluxo em camadas: primeiro a execução do projeto aparentemente legítimo, depois a coleta ou preparação do ambiente e, em seguida, a possibilidade de persistência operacional, comunicação com C2 e acesso controlado pelo adversário.
A infraestrutura de comando e controle também mostra separação funcional. A PurpleBravo foi observada administrando dois conjuntos distintos de servidores C2 para BeaverTail e GolangGhost. Esses servidores estavam hospedados em 17 provedores diferentes e eram administrados com Astrill VPN e intervalos de IP na China. A informação relevante para defesa não é a publicação de endereços específicos, mas o padrão: tráfego de endpoints de desenvolvimento para infraestrutura incomum, uso de VPN associada à administração dos servidores e comunicação de ferramentas de coleta ou backdoor após a abertura de projetos recebidos em entrevistas.
A superfície de ataque não fica restrita ao candidato. Quando uma avaliação é executada em notebook corporativo, conta corporativa ou rede administrada pela empresa, o processo seletivo passa a se comportar como vetor de comprometimento organizacional. Isso afeta empresas que permitem uso de dispositivos corporativos para testes externos, times que avaliam código de terceiros sem isolamento e profissionais com acesso simultâneo a repositórios internos, tokens de desenvolvimento, navegadores autenticados, chaves locais ou ambientes de build.
A campanha também toca risco de cadeia de suprimentos de software. Muitas organizações potenciais anunciavam grandes bases de clientes, o que amplia o interesse do adversário em fornecedores, consultorias, times terceirizados e empresas que mantêm código ou integrações para terceiros. Mesmo sem confirmação de comprometimento final em todos os casos, a combinação de entrevista falsa, projeto malicioso e endpoint corporativo cria uma ponte entre uma vítima individual e sistemas usados para entregar software, prestar serviço ou manter integrações de clientes.
- Candidatos abordados por ofertas fictícias de emprego e avaliações técnicas remotas.
- Endpoints corporativos usados para abrir projetos de VS Code ou repositórios recebidos durante processos seletivos.
- Organizações de IA, criptomoedas, finanças, TI, marketing e desenvolvimento de software expostas por uso de dispositivos de trabalho em testes externos.
- Ambientes com navegadores autenticados, credenciais de desenvolvimento, repositórios internos ou artefatos de build no mesmo dispositivo usado na avaliação.
A detecção deve partir do comportamento, porque a campanha usa ferramentas e plataformas comuns a desenvolvedores. Um bom ponto de partida é correlacionar abertura recente de repositórios externos, execução de projetos de VS Code recebidos por canais de recrutamento, criação de processos incomuns por runtimes de desenvolvimento e conexões de rede iniciadas logo após a primeira execução do projeto. Em endpoints de engenharia, eventos envolvendo Node.js, Go, shells invocados por tarefas de build, extensões ou scripts de inicialização merecem análise quando surgem sem vínculo com projetos aprovados pela organização.
A telemetria de rede deve procurar comunicação para C2 hospedado em provedores variados, com atenção a conexões iniciadas por ferramentas de desenvolvimento em vez de navegadores corporativos comuns. Em identidade e SaaS, vale revisar sessões novas após a execução de avaliações técnicas, uso de contas de desenvolvedor fora do padrão, acesso incomum a repositórios e leitura de segredos ou configurações por endpoints recém-expostos. Como há sobreposição com atividade de trabalhadores de TI norte-coreanos, alertas que combinem perfis profissionais suspeitos, infraestrutura VPN e comportamento de desenvolvimento anômalo devem ser tratados como investigação de ameaça, não apenas como fraude de recrutamento.
- Execução de projetos de terceiros em VS Code seguida por conexões externas incomuns.
- Processos de JavaScript ou binários Go iniciados a partir de diretórios de avaliação, download ou repositórios clonados.
- Acesso a repositórios internos, tokens, arquivos de configuração ou dados de navegador logo após uma entrevista técnica.
- Comunicação de endpoints corporativos com provedores externos não usuais durante ou depois de testes de recrutamento.
- Perfis de LinkedIn com histórico profissional inconsistente conduzindo candidatos a repositórios GitHub ou avaliações técnicas fora de canais oficiais.
A resposta defensiva deve tratar avaliações técnicas externas como código não confiável. Candidatos, funcionários e contratados não devem executar projetos de recrutamento em dispositivos corporativos com acesso a repositórios, credenciais, navegadores autenticados ou ambientes internos. Quando a análise de código externo for inevitável, ela deve ocorrer em ambiente descartável, sem segredos, sem sessão corporativa ativa e com monitoramento de processo, arquivo e rede. O ponto central é separar a curiosidade profissional do perímetro operacional da empresa.
Empresas com equipes de engenharia distribuídas devem revisar políticas de entrevista, onboarding e freelancing para impedir que testes externos se misturem a ativos de produção. Também é necessário investigar endpoints que tenham executado projetos recebidos por mensagens de recrutamento, especialmente entre agosto de 2024 e setembro de 2025, quando a atividade contra os 3.136 endereços IP foi avaliada. Se houver indício de execução, a contenção deve incluir coleta forense do endpoint, revogação de tokens locais, rotação de credenciais de desenvolvimento, revisão de acessos a repositórios e análise de tráfego para infraestrutura externa desconhecida.
A mitigação de longo prazo exige controles de cadeia de suprimentos voltados a pessoas, não apenas a pacotes. Isso inclui treinamento específico para entrevistas falsas, validação de recrutadores e empresas antes de abrir projetos, bloqueio de execução automática em workspaces desconhecidos, monitoramento de tarefas de build que invocam rede e inventário de ferramentas de desenvolvimento capazes de rodar código no checkout inicial. A campanha mostra que o adversário explora rotinas legítimas de engenharia; por isso, a defesa precisa cobrir o momento em que um repositório ainda parece apenas um teste técnico.
- Proibir avaliações técnicas externas em dispositivos corporativos com credenciais ou acesso interno.
- Executar código de entrevistas somente em ambientes isolados, descartáveis e sem segredos.
- Auditar endpoints de desenvolvimento que abriram repositórios ou projetos enviados por contatos de recrutamento.
- Rotacionar tokens, chaves e credenciais locais quando houver suspeita de execução de projeto malicioso.
- Monitorar processos e conexões iniciados por VS Code, runtimes JavaScript e binários Go em diretórios de projetos recém-obtidos.
- Validar identidades de recrutadores e empresas antes de aceitar avaliações com repositórios externos.
0 Comentários