Jusqu'à 3 136 adresses IP individuelles ont été identifiées liées à des cibles potentielles de l'activité d'interview contagieuse, et la campagne affirme que 20 organisations victimes potentielles couvrent les secteurs de l'intelligence artificielle (IA), de la cryptomonnaie, des services financiers, des services informatiques, du marketing et du développement de logiciels en Europe, en Asie du Sud, au Moyen-Orient et en Amérique centrale.
Les nouvelles découvertes proviennent du groupe Insikt de Recorded Future, qui suit le groupe d'activités de menace de la Corée du Nord sous le nom VioletBravo. La campagne, documentée pour la première fois fin 2023, est également connue sous les noms de CL-STA-0240, DeceivedDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi et WaterPlum.
Les quelque 3 136 adresses IP individuelles, concentrées principalement en Asie du Sud et en Amérique du Nord, ont été ciblées par l’adversaire entre août 2024 et septembre 2025. Les 20 entreprises victimes seraient basées en Belgique, en Bulgarie, au Costa Rica, en Inde, en Italie, aux Pays-Bas, au Pakistan, en Roumanie, aux Émirats arabes unis (EAU) et au Vietnam.
“Dans plusieurs cas, les demandeurs d'emploi exécutaient probablement du code malveillant sur les appareils de l'entreprise, créant ainsi une exposition organisationnelle au-delà de la cible individuelle”, a déclaré la société de renseignement sur les menaces dans un nouveau rapport partagé avec The Hacker News.
Cette divulgation intervient un jour après que Jamf Threat Labs a détaillé une itération importante de la campagne Contagious Interview dans laquelle des attaquants abusent de projets malveillants Microsoft Visual Studio Code (VS Code) comme vecteur d'attaque pour distribuer une porte dérobée, soulignant l'exploitation continue des flux de travail des développeurs de confiance pour atteindre leur double objectif de cyberespionnage et de vol financier.
La société appartenant à Mastercard a déclaré avoir détecté quatre individus LinkedIn potentiellement associés à PurpleBravo qui se faisaient passer pour des développeurs et des recruteurs et prétendaient être originaires de la ville ukrainienne d'Odessa, ainsi que plusieurs référentiels GitHub malveillants conçus pour distribuer des familles de logiciels malveillants connues sous le nom de BeaverTail.
PurpleBravo a également été observé en train de gérer deux ensembles distincts de serveurs de commande et de contrôle (C2) pour BeaverTail, un chargeur JavaScript et voleur de données, et une porte dérobée basée sur Go connue sous le nom de GolangGhost (également connue sous le nom de FlexibleFerret ou WeaselStore) qui est basée sur l'outil open source HackBrowserData.
Les serveurs C2, hébergés chez 17 fournisseurs différents, sont gérés via Astrill VPN et à partir de plages IP en Chine. L’utilisation d’Astrill VPN par des acteurs nord-coréens dans le cadre de cyberattaques est bien documentée au fil des années.
Il convient de noter que Contagious Interview complète une deuxième campagne distincte appelée Wagemole (également connue sous le nom de PurpleDelta), dans laquelle les informaticiens des acteurs du Royaume de l'Ermite recherchent un emploi non autorisé sous des identités frauduleuses ou volées dans des organisations basées aux États-Unis et dans d'autres parties du monde à des fins de gain financier et d'espionnage.
Bien que les deux groupes soient traités comme des ensembles d’activités disparates, il existe d’importants chevauchements tactiques et infrastructurels entre eux, même si la menace contre les travailleurs informatiques est présente depuis 2017.
“Cela inclut un opérateur PurpleBravo probable montrant une activité cohérente avec le comportement des informaticiens nord-coréens, des adresses IP en Russie liées aux informaticiens nord-coréens communiquant avec les serveurs PurpleBravo C2 et le trafic de gestion de la même adresse IP VPN Astrill associée à l'activité PurpleDelta”, a déclaré Recorded Future.
Pour aggraver les choses, il a été constaté que les candidats contactés par PurpleBravo avec des offres d'emploi fictives passaient l'évaluation de codage sur les appareils fournis par l'entreprise, compromettant ainsi leurs employeurs. Cela montre que la chaîne d'approvisionnement en logiciels informatiques est « tout aussi vulnérable » à l'infiltration d'adversaires nord-coréens autres que les informaticiens.
“Beaucoup d'entre eux [potential victim] “Les organisations font la publicité d'une large clientèle, ce qui présente un risque sérieux pour la chaîne d'approvisionnement pour les entreprises qui sous-traitent leur travail dans ces régions”, a noté l'entreprise. “Alors que la menace pour l'emploi des travailleurs informatiques nord-coréens a été largement médiatisée, le risque lié à la chaîne d'approvisionnement PurpleBravo mérite la même attention afin que les organisations puissent se préparer, défendre et empêcher la fuite de données sensibles vers des acteurs nord-coréens menaçants.”
