Um grande golpe organizado por Pyongyang atinge GitHub, Upwork e Freelancer

Hackers norte-coreanos já desviaram milhões em bitcoin e ether, figurando entre os piores pesadelos da comunidade cripto. Temidos, caçados, amaldiçoados, ainda assim escapam de todas as armadilhas. Pois, recentemente, eles não apenas roubam: recrutam, organizam, infiltram e estruturam. GitHub, Upwork, Freelancer… todas as plataformas se tornaram campos de caça. E o que eles agora almejam não é mais apenas um grande prêmio, mas a própria estrutura da economia descentralizada.

Quando recrutadores de IA e perfis falsos infestam plataformas de tecnologia

Em 2024, Pyongyang, que já conta com mais de 60 desenvolvedores em plataformas cripto, deu um novo passo em sua guerra digital. Os hackers do regime não apenas se candidatam a vagas: eles as criam. No Upwork, Freelancer ou GitHub, publicam anúncios projetados para atrair desenvolvedores especializados em cripto. Por trás dessas ofertas aparentemente comuns, há um plano bem elaborado: o candidato é convidado a baixar um projeto hospedado no GitHub, supostamente para um teste técnico. O código contém malware, frequentemente do tipo BeaverTail.

Para tornar essas armadilhas indetectáveis, agentes norte-coreanos usam IA para gerar rostos, falsificar vozes e produzir documentos oficiais ultra-críveis. Eles utilizam ferramentas sofisticadas para aprimorar arquivos de identidade, alterar fotos e modificar vozes para enganar sistemas de verificação. 

Nada é deixado ao acaso: a aparência, o som, os detalhes administrativos são otimizados para passar nas verificações sem levantar a menor suspeita.

Exija uma entrevista por vídeo ao vivo e interativa durante o processo de seleção, para garantir que a aparência do candidato corresponda à foto do perfil e aos documentos enviados (frequentemente roubados ou gerados por IA).

Heiner García Pérez, membro da SEAL Intel

Esses perfis falsos tornam-se verdadeiros cavalos de Troia. O sistema KYC das plataformas não é mais uma barreira, mas uma ferramenta de camuflagem. É uma guerra de aparências onde o regime norte-coreano conduz a dança.

Engenharia social e exploração humana: recrutadores com sorriso digital

A astúcia norte-coreana não se limita às ferramentas. Ela se apoia em fraquezas humanas. Agentes de Pyongyang miram pessoas vulneráveis: freelancers isolados, ucranianos em crise, mulheres buscando independência econômica. Em fóruns como InterPals ou AbleHere, as abordagens sempre começam suavemente: uma troca amigável, uma promessa de renda, um teste rápido.

Depois vem a espiral: documentos de identidade, softwares como AnyDesk, tomada de controle da conta do freelancer. Os “recrutados” tornam-se laranjas. E a divisão é clara: 20% para eles, 80% para o operador.

Um documento interno encontrado nos arquivos de um hacker indica uma organização quase militar: roteiros de contato, procedimentos de integração, PowerPoint explicativo. A fraude torna-se um negócio de terceirização digital.

A comunidade cripto, que depende da descentralização, é a presa perfeita. Carteiras digitais são acessíveis, freelancers cripto são numerosos, identidades circulam.

Por trás desse sistema, uma verdade arrepiante: Pyongyang explora indivíduos para enganar outros. E tudo isso sob uma máscara amigável, benevolente, quase envolvente.

Redes opacas, cripto e IA: o plano de negócios de Pyongyang

O que a Coreia do Norte montou equivale a um plano industrial. Os pagamentos passam por plataformas de freelancers para contas bancárias ou carteiras cripto mantidas por “proxies”. Depois, os fundos são repatriados em forma de criptoativos para Pyongyang ou seus cúmplices.

A IA ainda desempenha um papel aqui: perfis gerados, históricos de atividades simulados, chamadas falsas no Zoom para validar identidades. Recrutadores às vezes pedem que seus colaboradores envolvam pessoas próximas, formando uma rede piramidal difícil de rastrear.

A esfera cripto torna-se o canal ideal para esses fluxos invisíveis: sem banco, sem regulador, sem alfândega.

Resumo visual dos principais fatos:

• Mais de 300 desenvolvedores alvo desde 2024;
• Pagamento redistribuído conforme a regra: 80% operador / 20% proxy;
• Plataformas infiltradas: Upwork, Freelancer, GitHub…;
• Uso massivo de IA para roubo de identidade; 
• Malwares amplamente disseminados: BeaverTail, InvisibleFerret.

Esse modelo funciona porque mistura tecnologia e manipulação psicológica, com eficácia formidável. As plataformas, muitas vezes sobrecarregadas, lutam para bloquear essas contas, que reaparecem sob outros nomes, outros rostos.

Hackers norte-coreanos drenaram o universo cripto em 2024. Com US$ 1.3 bilhões desviados, assinaram um ano recorde. Sua estratégia evolui. Seu poder também. Até onde eles irão?