una analisi recente mette in luce un meccanismo ingegnoso orchestrato da un gruppo nordcoreano, finalizzato a distribuire malware tra gli sviluppatori tramite annunci di lavoro fasulli. l’operazione, identificata come graphalgo, collega una pluralità di pacchetti dannosi a una campagna mirata a professionisti nel campo tech, in particolare con competenze javascript e python e una esperienza nel settore cripto.
graphalgo: truffe lavorative per consegnare malware
l’azione risulta attiva dal maggio 2025, con l’identità degli attaccanti presentata come aziende legate al settore blockchain e trading di criptovalute. gli inseguitori pubblicano offerte fasulle su piattaforme come linkedin, facebook e reddit. per accedere alla posizione si richiede lo svolgimento di un incarico tecnico, solitamente legato al debugging o al miglioramento di un progetto di esempio.
la descrizione dell’incarico appare autentica ma cela una dipendenza dannosa ospitata in repository affidabili quali npm e PyPI. avviando l’esecuzione del codice, tale dipendenza installa un trojan di accesso remoto sul sistema interessato. in alcuni casi, sono stati collegati più di 192 pacchetti dannosi a Graphalgo. tra questi, un esempio significativo è il pacchetto bigmathutils, inizialmente pulito fino alla versione 1.1.0, quando è stato introdotto un payload malevolo; successivamente è stato rimosso per ostacolare il rilevamento.
come funziona l’inganno
l’”assegnazione” appare come un contesto di lavoro legittimo, ma cela una dipendenza dannosa che si installa insieme al progetto. l’attacco sfrutta percorsi di installazione noti, aggirando controlli di sicurezza durante l’esecuzione del codice e consentendo l’inserimento di componenti aggiuntivi malevoli senza che l’utente ne sia consapevole.
caratteristiche e diffusione dei pacchetti
la campagna sfrutta pacchetti affidabili presenti nei repository ufficiali per distribuire codice malevolo. l’obiettivo consiste nel contattare sviluppatori interessati a progetti criptovalute o tecnologie fintech, fornendo una finta opportunità di lavoro ma accompagnando l’offerta con componenti rischiosi che agiscono in background.
graphalgo: controllo diretto del sistema senza che l’utente se ne accorga
l’elemento malevolo installato concede agli aggressori un controllo completo sull’hardware infetto. il remote access trojan consente di elencare i processi in esecuzione, eseguire comandi a piacimento, esfiltrare file e distribuire payload supplementari. l’ malware effettua anche controlli per rilevare l’eventuale presenza dell’estensione del browser MetaMask, indicativa di interessi finanziari. la comunicazione con il server avviene mediante una metodologia protetta da token, limitando i segnali di monitoraggio esterni.
gli esperti hanno sottolineato che Graphalgo potrebbe essere collegato al gruppo Lazarous, noto per campagne di truffe legate agli annunci di lavoro nel contesto tecnico. si raccomanda agli utenti di verificare sempre i pacchetti prima dell’installazione sui propri dispositivi e di mantenere pratiche di sicurezza aggiornate per ridurre i rischi di compromissione.
collegamenti e contesto operativo
la combinazione di inganno professionale e tecnica malevola evidenzia una criticità nell’ecosistema di sviluppo: richieste di lavoro credibili associate a componenti software potenzialmente pericolosi richiedono una valutazione accurata delle dipendenze e delle fonti. l’attenzione resta alta sui fornitori di pacchetti e sulle pratiche di gestione delle dipendenze, al fine di minimizzare l’esposizione a minacce mirate.
Lascia un commento