Un gruppo cyber legato allo Stato nordcoreano, noto come PurpleBravo, prende di mira sviluppatori e aziende IT attraverso falsi processi di selezione e test di programmazione malevoli. L’operazione sfrutta identità fittizie e repository GitHub compromessi con rischi per la filiera del software, soprattutto nei servizi IT e nell’outsourcing. Il report di Record Future
PurpleBravo è un cluster di attività cyber attribuito alla Corea del Nord, operativo almeno dal 2023 e documentato in modo esteso da Insikt Group di Recorded Future. Il gruppo prende di mira sviluppatori software, con particolare attenzione ai settori IT e criptovalute, utilizzando falsi recruiter, identità LinkedIn artefatte e presunti “coding challenge” come vettore iniziale di infezione.
Secondo lo studio dell’Insikt Group, diversi candidati avrebbero eseguito codice malevolo direttamente su dispositivi aziendali, trasformando così un attacco individuale in un problema di sicurezza organizzativa. Un modello che amplia la superficie di attacco e introduce un rischio di compromissione a cascata lungo la supply chain del software
La geografia dell’operazione
Attraverso l’uso di Network Intelligence, Insikt Group ha identificato 3.136 indirizzi IP riconducibili a potenziali bersagli di PurpleBravo tra agosto 2024 e settembre 2025. Le attività risultano concentrate soprattutto in Asia meridionale e Nord America, con almeno 20 organizzazioni potenzialmente compromesse nei settori IA, servizi finanziari, IT, marketing e sviluppo software.
Le aziende individuate operano in Europa, Medio Oriente, Asia e America Centrale, spesso come fornitori di servizi o società di integrazione risorse esterne. Un elemento che amplifica il rischio: la compromissione di un singolo sviluppatore può propagarsi verso clienti finali e partner industriali.
Malware e infrastruttura
PurpleBravo fa leva su una combinazione di malware su misura e strumenti open source, come infostealer in JavaScript usati come primo grimaldello, trojan di accesso remoto multipiattaforma per sottrarre credenziali e portafogli di criptovalute, e moduli più avanzati in grado di controllare a distanza i sistemi infetti, registrare le attività dell’utente ed esfiltrare dati sensibili. I server di comando e controllo (C2) sono distribuiti su almeno 17 provider differenti, con amministrazione osservata tramite Astrill VPN e indirizzi IP riconducibili anche alla Cina. Proprio questa frammentazione infrastrutturale aumenta la resilienza operativa della campagna e ne complica il tracciamento
L’intreccio con PurpleDelta
Insikt Group distingue PurpleBravo da PurpleDelta, etichetta usata per identificare i lavoratori IT nordcoreani impiegati in modo fraudolento all’estero, ma l’analisi documenta sovrapposizioni significative. Infrastrutture condivise, uso degli stessi nodi VPN e, in almeno un caso, un operatore coinvolto in entrambe le attività.
Questo dato rafforza l’ipotesi di un ecosistema coordinato, in cui frodi occupazionali e operazioni cyber offensive si alimentano reciprocamente, sotto un’unica regia strategica
Un rischio sottovalutato
Il punto critico non è solo il furto di criptovalute o credenziali individuali. PurpleBravo rappresenta una minaccia strutturale alla supply chain IT, in particolare per le aziende che esternalizzano sviluppo software o assumono contractor in aree ad alta esposizione.
Mentre l’attenzione internazionale si è concentrata sui lavoratori IT nordcoreani infiltrati nelle aziende occidentali, la campagna PurpleBravo dimostra che la filiera tecnologica può essere compromessa anche dall’esterno, sfruttando dinamiche di recruiting, lavoro remoto e fiducia nei processi di selezione.
Conclusione
PurpleBravo evidenzia come anche il colloquio di lavoro stia diventando vettore di attacco, il candidato l’anello debole, il codice la porta d’ingresso. In un contesto di outsourcing diffuso e sviluppo distribuito, la sicurezza della supply chain dovrà, per garantire robustezza e resilienza, mettere in sicurezza, oltre ai fornitori ufficiali, anche persone, processi e strumenti di selezione.
