O Lazarus Group, grupo de hackers patrocinado pela Coreia do Norte, infectou programadores ao redor do mundo com malware disfarçado de teste de código em processos de recrutamento falsos. A campanha, batizada de Graphalgo, está ativa desde maio de 2025 e distribuiu dezenas de pacotes maliciosos nos repositórios npm e PyPI, alcançando mais de 10 mil downloads antes de ser detectada. A pesquisa foi divulgada pela ReversingLabs em 11 de fevereiro de 2026, com cobertura do The Hacker News.

Desenvolvedores de JavaScript e Python foram abordados por falsos recrutadores no LinkedIn, Facebook, Reddit e grupos especializados, convidados a resolver testes técnicos de empresas de blockchain fictícias. Ao executar o código, a vítima instalava silenciosamente um trojan de acesso remoto (RAT) que rouba credenciais, chaves de acesso à nuvem e carteiras de criptomoedas.

Como funciona o golpe

A operação começa com a criação de uma empresa fictícia de criptomoedas, no caso “Veltrix Capital”, com site próprio, domínio registrado e conta no GitHub. Os repositórios aparentavam ser tarefas de entrevistas legítimas — projetos Python e JavaScript para testar candidatos a vagas de DevOps. A armadilha não estava no código visível, mas nas dependências escondidas nos arquivos de configuração.

Segundo o pesquisador Karlo Zanki, da ReversingLabs, os repositórios não continham funcionalidades maliciosas óbvias porque o malware foi introduzido indiretamente, através de pacotes hospedados em repositórios públicos como npm e PyPI. O candidato só precisava executar o projeto para que a dependência maliciosa fosse instalada e ativada em sua máquina.

36 pacotes maliciosos identificados

Os atacantes publicaram 24 pacotes maliciosos no npm e 12 no PyPI, organizados em duas ondas distintas:

Onda Prefixo dos pacotes Repositórios Período Pacotes-chave
“graph” npm + PyPI Maio 2025 graphalgo, graphnetworkx, graphlibcore
“big” npm + PyPI Dezembro 2025 bignumx, bigmathutils, bigmathlib

Os nomes imitavam bibliotecas legítimas como graphlib e networkx. O caso do pacote bigmathutils ilustra a paciência dos atacantes: durante um mês, foi publicado em versão limpa e acumulou mais de 10 mil downloads. Somente na véspera da publicação do relatório, a versão 1.1.0 foi lançada com o mesmo payload malicioso. A versão infectada foi rapidamente removida pelo autor, que alegou descontinuação do projeto.

RAT rouba cripto e credenciais

O estágio final do ataque instala um RAT que se comunica periodicamente com servidores de comando e controle (C2) nos domínios codepool.cloud e aurevian.cloud. O trojan suporta comandos para listar processos, navegar diretórios, baixar e enviar arquivos, além de executar comandos arbitrários no sistema comprometido.

Uma funcionalidade reveladora: o malware verifica ativamente se a extensão MetaMask do navegador está instalada — indicador claro de que os atacantes visam fundos de criptomoedas. A comunicação com o C2 é protegida por um mecanismo de tokens, técnica já observada em campanhas do grupo Jade Sleet (também conhecido como TraderTraitor).

Estratégia modular dificulta detecção

A sofisticação da campanha impressiona pesquisadores. Sua arquitetura modular separa o “frontend” — a empresa falsa e as vagas de emprego — do “backend” — a infraestrutura de malware hospedada em repositórios públicos. Isso permite que os atacantes substituam rapidamente uma empresa exposta por uma nova identidade, sem precisar reescrever o código malicioso.

Em outubro de 2025, uma nova organização no GitHub chamada veltrixcapital foi criada com domínio próprio registrado em setembro. Seu conteúdo é genérico e provavelmente gerado por IA, servindo para construir confiança antes de ser usado em ataques futuros. A ReversingLabs também identificou uma versão do RAT escrita em VBS (Visual Basic Script), conectada ao mesmo servidor C2 — sinal de que existem outras frentes de ataque ainda não descobertas.

Atribuição à Coreia do Norte

A atribuição ao Lazarus Group baseia-se em múltiplos indicadores técnicos. Os carimbos de data nos commits do Git seguem o fuso horário GMT+9, correspondente à Coreia do Norte. O uso de entrevistas falsas como vetor de ataque, o foco em criptomoedas, a comunicação C2 protegida por tokens e a publicação paciente de versões limpas antes de introduzir payloads maliciosos são todas assinaturas consistentes com operações norte-coreanas anteriores.

O histórico é extenso. Em 2023, a campanha VMConnect usou táticas semelhantes com pacotes PyPI. Em 2024, o grupo se passou por recrutadores do Capital One. Mais recentemente, o grupo usou ferramentas de IA para alterar a aparência de um membro durante entrevistas por vídeo, enganando a empresa de cibersegurança KnowBe4, que chegou a contratar o atacante antes de detectar a fraude.

Checklist de proteção para devs

Desenvolvedores e equipas de segurança devem adotar as seguintes medidas contra este tipo de ataque:

  1. Verificar o recrutador: confirmar a identidade do recrutador e a empresa que representa antes de aceitar qualquer teste de código.
  2. Usar ambientes isolados: executar arquivos de teste exclusivamente em máquinas virtuais, containers Docker ou sandboxes — nunca em máquinas de desenvolvimento com acesso a credenciais de produção.
  3. Monitorar dependências: usar ferramentas de análise de cadeia de suprimentos para inspecionar pacotes instalados via npm e PyPI.
  4. Desconfiar de pacotes desconhecidos: pacotes com poucos downloads, nomes que imitam bibliotecas populares ou mudanças súbitas de comportamento entre versões merecem inspeção adicional.
  5. Consultar os IoCs: a ReversingLabs publicou a lista completa de indicadores de comprometimento, incluindo hashes de arquivos e domínios C2, para facilitar a detecção.

A campanha demonstra que o ecossistema open-source continua sendo um vetor de ataque lucrativo para grupos patrocinados por Estados. Com mais de 36 pacotes maliciosos identificados em dois repositórios e a descoberta de variantes ainda não associadas a nenhuma frente conhecida, não há sinais de que a operação vá diminuir.

Fontes e referências