Il posto più pericoloso nel mondo crypto al momento non è un protocollo DeFi o un exchange centralizzato. È un colloquio di lavoro.
Il gruppo Lazarus della Corea del Nord ha completamente evoluto la sua strategia d'attacco e il nuovo metodo è davvero inquietante nella sua semplicità ed efficacia. I ricercatori di OpenSourceMalware hanno confermato il 6 maggio che Lazarus ora nasconde caricamenti di malware di seconda fase direttamente all'interno dei Git Hooks — specificamente negli script pre-commit dei repository che agli sviluppatori viene chiesto di clonare come parte di falsi colloqui di lavoro.
Ecco esattamente come funziona l'attacco. Un sviluppatore viene contattato su LinkedIn o su una piattaforma di lavoro da quello che sembra essere un reclutatore legittimo di una azienda crypto o DeFi. L sviluppatore è invitato a completare una valutazione tecnica. Clonano un repository. Nel momento in cui eseguono un comando git di routine — qualcosa di standard come un git merge o un git pull — uno script pre-commit si attiva silenziosamente in background. Quello script recupera BeaverTail, un infostealer JavaScript creato da Lazarus. BeaverTail poi installa InvisibleFerret, un backdoor Python che fornisce agli attaccanti accesso remoto persistente all'intera macchina. Nessun binario sospetto. Nessun prompt di installazione. Nessun avviso. La macchina è completamente compromessa prima che lo sviluppatore finisca la valutazione.
Questo non è un nuovo gruppo che cerca di trovare il proprio spazio. Questa è un'operazione sponsorizzata dallo stato che ha rubato oltre cinque miliardi di dollari in criptovalute tra il 2021 e il 2025. A febbraio 2025 hanno rubato 1,5 miliardi di dollari da Bybit in un solo attacco — il più grande furto di criptovalute della storia. A aprile 2026, solo tre settimane fa, sono stati collegati all'exploit da 290 milioni di dollari di KelpDAO. Gli Stati Uniti, il Giappone e la Corea del Sud hanno confermato ufficialmente che Lazarus ha rubato 660 milioni di dollari in crypto solo nel 2024. La Corea del Nord utilizza ogni dollaro per finanziare il suo programma di armi nucleari.
La campagna Mach-O Man di aprile 2026 ha dimostrato che stanno anche prendendo di mira i dirigenti delle aziende crypto e fintech attraverso falsi incontri online su macOS. La campagna GitHub C2 scoperta ad aprile utilizza GitHub stesso come server di comando e controllo — instradando il traffico malevolo attraverso una delle piattaforme più fidate su internet in modo che i firewall non lo segnalino mai.
I ricercatori hanno un chiaro consiglio. Non clonare mai un repository ricevuto tramite un'offerta di lavoro o un processo di reclutamento senza eseguirlo in un ambiente completamente isolato. Tieni le tue chiavi SSH, le credenziali del browser e le frasi seed del portafoglio crypto su una macchina che non tocca mai codice non richiesto. Se un reclutatore ti invia un repo da testare, trattalo come un'arma carica fino a prova contraria.
Il mercato del lavoro nel crypto è reale. Così come le persone che lo esplorano.
Rimani vigile.
$BTC $ETH $BNB #CryptoSecurity #LazarusGroup #HackerAlert #Web3Security #dyor
