Os atores de ameaça da Coreia do Norte, associados à campanha Contagious Interview, foram observados publicando outro conjunto de 67 pacotes maliciosos no registro npm, sublinhando tentativas contínuas de envenenar o ecossistema de código aberto por meio de ataques à cadeia de suprimentos de software.
Os pacotes, segundo a Socket, atraíram mais de 17.000 downloads e incorporam uma versão anteriormente não documentada de um loader de malware codinome XORIndex.
A atividade é uma expansão de uma onda de ataques notada no mês passado que envolveu a distribuição de 35 pacotes npm que implantavam outro loader referido como HexEval.
"A operação Contagious Interview continua a seguir uma dinâmica de bater e correr, onde os defensores detectam e relatam pacotes maliciosos, e os atores de ameaças da Coreia do Norte respondem rapidamente fazendo o upload de novas variantes usando os mesmos playbooks, similares ou levemente evoluídos," disse o pesquisador da Socket, Kirill Boychenko.
Contagious Interview é o nome atribuído a uma campanha de longa duração que visa aliciar desenvolvedores a baixar e executar um projeto de código aberto como parte de uma suposta tarefa de codificação.
Primeiramente divulgada publicamente no final de 2023, o conjunto de ameaças também é monitorado como DeceptiveDevelopment, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342 e Void Dokkaebi.
Acredita-se que a atividade complemente o infame esquema de trabalhador de TI remoto de Pyongyang, adotando a estratégia de mirar em desenvolvedores já empregados em empresas de interesse em vez de se candidatarem a um emprego.
As cadeias de ataque que usam pacotes npm maliciosos são bastante diretas, pois servem como um conduto para um conhecido loader e ladrão de JavaScript chamado BeaverTail, que é posteriormente usado para extrair dados de navegadores da web e carteiras de criptomoedas, bem como implantar um *backdoor* em Python referido como InvisibleFerret.
"As duas campanhas agora operam em paralelo. XORIndex acumulou mais de 9.000 downloads em uma janela curta (de junho a julho de 2025), enquanto HexEval continua em um ritmo constante, com mais de 8.000 downloads adicionais nos pacotes recém-descobertos," disse Boychenko.
O Loader XORIndex, como o HexEval, perfila a máquina comprometida e usa endpoints associados à infraestrutura de comando e controle (C2) codificada para obter o endereço IP externo do host.
As informações coletadas são então enviadas a um servidor remoto, após o qual o BeaverTail é iniciado.
Análises adicionais desses pacotes revelaram uma evolução contínua do loader, progredindo de um protótipo básico para um malware mais sofisticado e furtivo.
As primeiras iterações foram encontradas com falta de capacidades de ofuscação e reconhecimento, enquanto mantinham sua funcionalidade central intacta, com versões de segunda e terceira geração introduzindo capacidades rudimentares de reconhecimento do sistema.
"Os atores de ameaças da Contagious Interview continuarão a diversificar seu portfólio de malware, rodando através de novos aliases de mantenedores do npm, reutilizando loaders como o HexEval Loader e famílias de malware como BeaverTail e InvisibleFerret, e implantando ativamente variantes recém-observadas incluindo o XORIndex Loader," disse Boychenko.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...