Theo thông báo từ BlockBeats, ngày 22 tháng 1, sau khi đánh cắp hơn 2 tỷ USD từ thị trường tiền mã hóa vào năm 2025, tin tặc Triều Tiên đã quay trở lại. Tổ chức tin tặc có tên PurpleBravo đã phát động một chiến dịch tuyển dụng giả quy mô lớn, tấn công hơn 3.100 địa chỉ internet liên quan đến các công ty trí tuệ nhân tạo, tiền mã hóa và dịch vụ tài chính. Các tin tặc giả danh nhà tuyển dụng hoặc lập trình viên, lừa đảo người tìm việc thực hiện các nhiệm vụ phỏng vấn kỹ thuật, bao gồm xem xét mã nguồn, sao chép kho lưu trữ mã hoặc hoàn thành các bài kiểm tra lập trình, qua đó thực thi mã độc hại trên thiết bị của doanh nghiệp. Đến nay đã xác nhận có 20 tổ chức tại Nam Á, Bắc Mỹ, châu Âu, Trung Đông và Trung Mỹ bị ảnh hưởng.
Các nhà nghiên cứu đã phát hiện ra rằng các tin tặc Triều Tiên đã sử dụng danh tính giả của Ukraine để che giấu, đồng thời triển khai hai loại phần mềm gián điệp truy cập từ xa là PylangGhost và GolangGhost nhằm đánh cắp thông tin xác thực trình duyệt. Ngoài ra, họ còn phát triển phiên bản Microsoft Visual Studio Code được vũ khí hóa, cài đặt cửa sau thông qua kho lưu trữ Git độc hại.