أفادت BlockBeats بأن 22 يناير، عاد المهاجمون الكوريون الشماليون مرة أخرى بعد سرقة أكثر من 2 مليار دولار من السوق المشفرة في عام 2025، حيث أطلق فصيل المهاجمين المعروف باسم PurpleBravo حملة توظيف وهمية كبرى، وهاجم أكثر من 3100 عنوان إنترنت مرتبط بشركات الذكاء الاصطناعي والعملات المشفرة والخدمات المالية. يقوم المهاجمون بتقمص هوية أشخاص مسؤولين عن التوظيف أو المطورين، وي诱导ون المتقدمين للوظائف على تنفيذ مهام تقييم تقنية، مثل مراجعة الأكواد، ونسخ مستودعات الأكواد، أو إكمال مهام البرمجة، مما يؤدي إلى تنفيذ رموز خبيثة على أجهزة الشركات. وقد تم تأكيد إصابة 20 منظمة حتى الآن من جنوب آسيا، وشمال أمريكا، وأوروبا، والشرق الأوسط، ووسط أمريكا.
أفاد الباحثون أن المهاجمين الكوريين الشماليين استخدموا هويات مزيفة تابعة لأوكرانيا كغطاء، ونشرت نوعين من برامج التحكم عن بعد (PylangGhost و GolangGhost) لسرقة بيانات اعتماد المتصفح. كما تم تطوير نسخة مُسلحة من Microsoft Visual Studio Code، وتُستخدم مستودعات Git الخبيثة لزرع البوابات الخلفية.