Uit een recente ontdekking blijkt dat een Noord-Koreaanse oplichtingsgroep zich op ontwikkelaars richt via een geavanceerd nep-jobprogramma dat malware verbergt in codeeropdrachten. Experts hebben meer dan 200 kwaadaardige softwarepakketten ontdekt die verband houden met de operatie, bekend als Graphalgo. Wat interessant is, is dat de aanvallers zich specifiek richten op op JavaScript en Python gebaseerde technologieprofessionals, vooral degenen met ervaring met cryptocurrency.
De Noord-Koreaanse oplichtingsgroep Graphalgo gebruikt nepbanenprogramma’s om malware te verspreiden
ReversingLabs meldt dat de operatie sinds mei 2025 actief is. De aanvallers doen zich naar verluidt voor als blockchain- en cryptohandelbedrijven en publiceren nep-vacatures op platforms als LinkedIn, Facebook en Reddit. Om op de zogenaamde baan te solliciteren, wordt sollicitanten gevraagd een technische opdracht uit te voeren, waarbij doorgaans fouten in een voorbeeldproject moeten worden opgespoord of verbeterd.
De toewijzing ziet er legitiem uit, maar bevat een verborgen kwaadaardige afhankelijkheid die wordt gehost op vertrouwde opslagplaatsen zoals npm en PyPI. Zodra een gebruiker de code uitvoert, installeert de afhankelijkheid een trojan voor externe toegang op het systeem. Het rapport beweert dat maar liefst 192 schadelijke pakketten aan Graphalgo zijn gekoppeld. In één geval was het bigmathutils-pakket schoon tot versie 1.1.0, waarna een kwaadaardige payload werd toegevoegd, en het pakket vervolgens werd verwijderd om detectie te voorkomen.
Aanvallers krijgen directe controle over het systeem, terwijl de gebruiker zich er niet van bewust is
De geïnstalleerde malware geeft aanvallers volledige controle over geïnfecteerde machines. De trojan voor externe toegang kan actieve processen weergeven, willekeurige opdrachten uitvoeren, bestanden exfiltreren en extra payloads inzetten. Het controleert ook op de aanwezigheid van de cryptocurrency-browserextensie MetaMask, wat financiële motieven aangeeft. De malware gebruikt een token-beveiligde methode voor communicatie met de server. Dit beperkt het toezicht van buitenaf.
Deskundigen hebben ook onthuld dat de Graphalgo-operatie hoogstwaarschijnlijk verband houdt met de beruchte Lazarous-groep. Ze staan bekend om hun oplichting met betrekking tot vacatures. Hoe dan ook, gebruikers wordt nogmaals geadviseerd om altijd pakketten te kruisverifiëren voordat ze op hun apparaten worden geïnstalleerd.
