A campanha persistente ligada à Coreia do Norte, conhecida como Contagious Interview, ampliou sua atuação ao publicar pacotes maliciosos voltados aos ecossistemas Go, Rust e PHP.
Segundo o pesquisador de segurança Kirill Boychenko, da Socket, os pacotes foram desenvolvidos para imitar ferramentas legítimas de desenvolvimento e, ao mesmo tempo, funcionar discretamente como loaders de malware, expandindo o já conhecido método da operação para uma ação coordenada de supply chain entre diferentes ecossistemas.
A lista completa dos pacotes identificados inclui:
npm: dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt, debug-glitz
PyPI: logutilkit, apachelicense, fluxhttp, license-utils-kit
Go: github[.]com/golangorg/formstash, github[.]com/aokisasakidev/mit-license-pkg
Rust: logtrace
Packagist: golangorg/logkit
Esses loaders foram criados para buscar payloads de segunda etapa específicos para cada plataforma, que acabam sendo variantes de malware com capacidades de infostealer e RAT.
O foco principal é coletar dados de navegadores, password managers e carteiras de criptomoedas.
No entanto, a versão para Windows entregue por meio de “license-utils-kit” inclui o que a Socket descreve como um “full post-compromise implant”, com recursos para executar comandos de shell, registrar teclas digitadas, roubar dados do navegador, enviar arquivos, encerrar navegadores, instalar o AnyDesk para acesso remoto, criar arquivos compactados com criptografia e baixar módulos adicionais.
“Isso torna esse grupo notável não apenas pelo alcance entre ecossistemas, mas também pela profundidade da funcionalidade pós-comprometimento incorporada em parte da campanha”, acrescentou Boychenko.
Um dos pontos mais relevantes da nova leva de bibliotecas é que o código malicioso não é ativado durante a instalação.
Em vez disso, ele fica embutido em funções que parecem legítimas e coerentes com a finalidade declarada do pacote.
No caso de “logtrace”, por exemplo, o código está escondido em “Logger::trace(i32)”, um método que dificilmente levantaria suspeitas de um desenvolvedor.
A expansão da Contagious Interview por cinco ecossistemas open source reforça que a campanha é uma ameaça persistente e bem financiada de supply chain, projetada para infiltrar essas plataformas de forma sistemática e usá-las como ponto de acesso inicial para comprometer ambientes de desenvolvedores com fins de espionagem e ganho financeiro.
Ao todo, a Socket afirma ter identificado mais de 1.700 pacotes maliciosos ligados à atividade desde o início de janeiro de 2025.
A descoberta faz parte de uma campanha mais ampla de comprometimento da supply chain de software conduzida por grupos de hackers norte-coreanos.
Entre os casos mais recentes está a adulteração do popular pacote Axios no npm para distribuir um implant chamado WAVESHAPER.V2, após o controle da conta do mantenedor no npm por meio de uma campanha de engenharia social direcionada.
O ataque foi atribuído a um agente malicioso motivado financeiramente, identificado como UNC1069, com sobreposição a BlueNoroff, Sapphire Sleet e Stardust Chollima.
Em um relatório publicado hoje, a Security Alliance (SEAL) informou ter bloqueado 164 domínios ligados ao UNC1069 que imitavam serviços como Microsoft Teams e Zoom entre 6 de fevereiro e 7 de abril de 2026.
“O UNC1069 conduz campanhas de engenharia social de várias semanas, com baixa pressão, no Telegram, LinkedIn e Slack, seja se passando por contatos conhecidos ou por marcas confiáveis, seja explorando acesso a contas corporativas e pessoais já comprometidas, antes de entregar um link fraudulento de reunião no Zoom ou no Microsoft Teams”, afirmou a SEAL.
Esses links falsos são usados para distribuir iscas no estilo ClickFix, levando à execução de malware que se comunica com um servidor controlado pelo atacante para roubo de dados e atividades direcionadas de pós-exploração em Windows, macOS e Linux.
“Os operadores deliberadamente não agem de imediato após o acesso inicial.
O implant permanece dormente ou passivo por um período após o comprometimento”, acrescentou a SEAL.
“Normalmente, a vítima remarca a reunião cancelada e continua as operações normalmente, sem perceber que o dispositivo foi comprometido.
Essa paciência amplia a janela operacional e maximiza o valor extraído antes que qualquer resposta a incidente seja acionada.”
Em comunicado, a Microsoft afirmou que atores norte-coreanos motivados financeiramente estão evoluindo ativamente seu conjunto de ferramentas e sua infraestrutura, usando domínios que se passam por instituições financeiras dos Estados Unidos e aplicativos de videoconferência para campanhas de engenharia social.
“O que observamos de forma consistente é uma evolução contínua na forma como atores ligados à RPDC e motivados financeiramente operam, com mudanças em ferramentas, infraestrutura e alvos, mas com clara continuidade em comportamento e intenção”, disse Sherrod DeGrippo, gerente-geral de threat intelligence da Microsoft.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...