Fałszywi rekruterzy ukrywają malware w „zadaniach rekrutacyjnych” dla programistów

Wprowadzenie do problemu / definicja luki

„Zadanie rekrutacyjne” w formie repozytorium na GitHubie, prośba o uruchomienie projektu i szybka weryfikacja umiejętności — to normalny element procesu hiringowego w IT. W 2025–2026 ten sam schemat stał się jednak skutecznym wektorem infekcji: podszywający się pod rekruterów napastnicy dostarczają projekt, który wygląda jak uczciwy challenge, ale zawiera złośliwą zależność (npm lub PyPI) pełniącą rolę downladera/loadera dla kolejnych etapów malware.

W opisywanym wariancie badacze powiązali aktywność z północnokoreańskimi aktorami (często klasyfikowanymi jako Lazarus/DPRK), a kampanię nazwano Graphalgo.

W skrócie

• Ofiary: przede wszystkim programiści JavaScript i Python, zwłaszcza pracujący przy tematach krypto/blockchain.
• Wektor: repozytoria z „coding challenge”, gdzie ukryto złośliwe zależności hostowane na npm i PyPI.
• Skala: w samym klastrze Graphalgo zidentyfikowano 192 złośliwe paczki powiązane z kampanią.
• Cel: zdalny dostęp (RAT) i monetyzacja — w praktyce kradzież danych/kluczy/portfeli oraz przejęcia kont (w zależności od wariantu).
• Cecha wyróżniająca: modułowość i „warstwowanie” infrastruktury na publicznych serwisach (GitHub, rejestry paczek), co utrudnia szybkie wygaszenie kampanii.

Kontekst / historia / powiązania

To nie jest jednorazowa akcja, tylko kolejna iteracja dłuższej serii kampanii, w których proces rekrutacyjny staje się socjotechnicznym „pretekstem” do instalacji malware.

• Contagious Interview (MITRE: G1052) to DPRK-aligned grupa aktywna od 2023 r., łącząca motywy finansowe (m.in. krypto) i szpiegowskie, z silnym fokusowaniem na osoby związane z developmentem.
• Unit 42 opisywał, iż w ramach Contagious Interview pojawiały się m.in. rodziny BeaverTail (JS w paczkach npm) i InvisibleFerret (pythonowy backdoor), działające cross-platform (Windows/Linux/macOS) i nastawione na kradzież danych oraz dalsze etapowanie infekcji.
• ESET w 2025 r. wiązał aktywność „DeceptiveDevelopment / Contagious Interview” z kradzieżą kryptowalut i zaawansowaną socjotechniką (fałszywe oferty pracy, elementy ClickFix), wskazując na ewolucję narzędzi i profesjonalizację operacji.

Graphalgo wpisuje się w ten trend, ale wykorzystuje bardzo „developerski” łańcuch zaufania: repozytorium + zależność z publicznego rejestru + uruchomienie lokalnie.

Analiza techniczna / szczegóły luki

1. Łańcuch ataku (high-level)

W badaniach ReversingLabs łańcuch opisano jako wieloetapowy i oparty o publiczne usługi:

1. Kontakt socjotechniczny (LinkedIn/Facebook, czasem inne kanały) i narracja o firmie związanej z krypto/blockchain.
2. „Coding challenge” jako repozytorium (np. w organizacji podszywającej się pod firmę).
3. W projekcie znajduje się „normalnie wyglądająca” zależność, ale prowadząca do złośliwych paczek na npm/PyPI, które działają jako downloadery/loader.
4. Kolejne etapy pobierają finalny payload — RAT — w różnych wariantach językowych (Python/JavaScript/VBS).

2. „Warstwowanie” i utrudnianie detekcji

W praktyce najgroźniejsze nie jest jedno repozytorium, tylko sposób ukrycia złośliwości:

• zależność wygląda jak standardowy element projektu,
• payload bywa pobierany dopiero w runtime,
• elementy są rozrzucone między GitHub a rejestry paczek (npm/PyPI) i dodatkową infrastrukturę.

3. Skala i artefakty

• BleepingComputer (na podstawie ustaleń badaczy) podaje 192 paczki powiązane z Graphalgo, działające jako downloadery dla RAT.
• ReversingLabs opisuje kampanię jako aktywną co najmniej od początku maja 2025 r. oraz wskazuje na modułowość, która pozwala napastnikom gwałtownie odtwarzać infrastrukturę po częściowych „takedownach”.

Praktyczne konsekwencje / ryzyko

Dla programisty (endpoint)

• trwały zdalny dostęp (RAT),
• kradzież poświadczeń, tokenów, sesji,
• ryzyko przejęcia kont deweloperskich (GitHub, npm, PyPI, CI/CD), a dalej ataków typu supply chain.

Dla firmy

Największym problemem jest „przeniesienie” infekcji z prywatnego kontekstu rekrutacyjnego na zasoby pracodawcy:

• stacje dev często mają dostęp do repozytoriów, artefaktów, sekretów (SSH keys, API keys, env vars),
• dostęp do pipeline’ów i rejestrów może umożliwić wstrzyknięcie złośliwego kodu do produktów.

Dodatkowo, część klastrów DPRK skupia się na kryptowalutach i aktywach: Unit 42 opisywał BeaverTail jako infostealera m.in. pod kątem portfeli krypto i danych płatniczych.

Rekomendacje operacyjne / co zrobić teraz

1. Zasady „bezpiecznej rekrutacji” dla devów

• Nigdy nie uruchamiaj zadania rekrutacyjnego na maszynie firmowej ani na hoście z dostępem do VPN/SSO/sekretów.
• Używaj izolacji: osobny laptop, VM, kontener lub „throwaway” środowisko (bez tokenów, bez kluczy).
• Weryfikuj źródło zadania: domena firmy, obecność realnych osób, spójne ślady (kontakt, NIP/REGON, profile) — Graphalgo bazuje na „firmach-wydmuszkach”.

2. Kontrola zależności (npm/PyPI) i supply chain

• Włącz polityki typu allowlist dla rejestrów i nazw paczek (tam, gdzie możliwe).
• Skanuj zależności SCA i analizą behawioralną (install scripts, postinstall, nietypowe fetch’e).
• Ustal wewnętrzny proces: każde nowe dependency w zadaniu „z zewnątrz” traktuj jak kod nieufny.

3. Detekcja i IR (dla SOC/Blue Team)

• Monitoruj nietypowe połączenia wychodzące z hostów dev (zwłaszcza tuż po instalacji paczek i buildzie).
• Zbieraj telemetrię dla procesów uruchamianych przez narzędzia dev (node/python) i ich child-processów.
• Przeszkol HR i tech leadów: „coding challenge” to dziś pełnoprawny wektor ataku, nie „tylko plik z zadaniem”.

Różnice / porównania z innymi przypadkami

• Graphalgo (ReversingLabs/BleepingComputer) mocno eksponuje modułowość i „klockowanie” kampanii z wielu publicznych usług oraz duży wolumen paczek w rejestrach.
• Wcześniejsze klastry (np. opisywane przez Unit 42) pokazywały bardziej „nazwane” rodziny i rolę infostealer → loader → backdoor (BeaverTail → InvisibleFerret). To podobna filozofia etapowania, ale różne implementacje i branding analityczny.
• MITRE klasyfikuje Contagious Interview jako grupę ukierunkowaną na developerów i krypto, co spina te historie w powtarzalny wzorzec TTP.

Podsumowanie / najważniejsze wnioski

Graphalgo to kolejny dowód, iż workflow programistyczny (repozytoria + zależności + szybkie uruchomienie) jest dziś atrakcyjniejszym celem niż klasyczne phishingowe „kliknij w link”. Kampania wygrywa nie „0-dayami”, tylko psychologią (marzenie o lepszej pracy) i inżynierią zaufania (GitHub/npm/PyPI).

Jeśli w Twojej organizacji pracują devowie, którzy rekrutują się aktywnie (albo dorabiają jako freelancerzy), potraktuj to jak realne ryzyko biznesowe: minimalna izolacja środowiska i higiena zależności potrafią zablokować większość tego typu ataków.

Źródła / bibliografia

1. BleepingComputer — „Fake job recruiters hide malware in developer coding challenges” (13 lutego 2026). (BleepingComputer)
2. ReversingLabs — „Fake recruiter campaign targets crypto developers with RAT” (szczegóły kampanii Graphalgo, od maja 2025). (ReversingLabs)
3. Unit 42 (Palo Alto Networks) — „Two Job-Related Campaigns Bear Hallmarks of North Korean Threat Actors” (Contagious Interview, BeaverTail, InvisibleFerret). (Unit 42)
4. ESET — „Deep dive into DeceptiveDevelopment / Contagious Interview” (25 września 2025). (ESET)
5. MITRE ATT&CK — Group G1052: Contagious Interview. (attack.mitre.org)