La persistente campaña vinculada a Corea del Finalidad conocida como Entrevista contagiosa ha extendido sus tentáculos publicando paquetes maliciosos dirigidos a los ecosistemas Go, Rust y PHP.
“Los paquetes del actor de amenazas fueron diseñados para hacerse producirse por herramientas de explicación legítimas (…), mientras funcionaban silenciosamente como cargadores de malware, extendiendo el manual establecido de Contagious Interview a una operación coordinada de dependencia de suministro entre ecosistemas”, dijo el investigador de seguridad de Socket Kirill Boychenko en un crónica del martes.
La cinta completa de paquetes identificados es la posterior:
- npm: dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt, debug-glitz
- PyPI: logutilkit, apachelicense, fluxhttp, licencia-utils-kit
- Vaya a: github(.)com/golangorg/formstash, github(.)com/aokisasakidev/mit-license-pkg
- Resto: seguimiento del registro
- Empaquetador: golangorg/logkit
Estos cargadores están diseñados para recuperar cargas avíos de segunda etapa específicas de la plataforma, que resultan ser una dormitorio de malware con capacidades de robo de información y troyano de entrada remoto (RAT). Se centra principalmente en resumir datos de navegadores web, administradores de contraseñas y billeteras de criptomonedas.
Sin incautación, una traducción de Windows del malware entregada a través de “license-utils-kit” incorpora lo que Socket describe como un “implante completo posterior al compromiso” que está equipado para ejecutar comandos de shell, registrar pulsaciones de teclas, robar datos del navegador, cargar archivos, cerrar navegadores web, implementar AnyDesk para entrada remoto, crear un archivo oculto y descargar módulos adicionales.
“Eso hace que este categoría sea trascendental no sólo por su trascendencia en todos los ecosistemas, sino incluso por la profundidad de la funcionalidad posterior al compromiso incorporada en al menos parte de la campaña”, añadió Boychenko.
Lo que hace que el zaguero conjunto de bibliotecas sea digno de mención es que el código receloso no se activa durante la instalación, sino que está integrado en funciones aparentemente legítimas que se alinean con el propósito anunciado del paquete. Por ejemplo, en el caso de “logtrace”, el código está oculto adentro de “Logger::trace(i32)”, un método que probablemente no despertará sospechas en un desarrollador.
La expansión de Contagious Interview en cinco ecosistemas de código hendido es una señal más de que la campaña es una amenaza persistente a la dependencia de suministro con buenos posibles y diseñada para infiltrarse sistemáticamente en estas plataformas como vías de entrada original para violar los entornos de los desarrolladores con fines de espionaje y ganancias financieras.
En total, Socket dijo que ha identificado más de 1.700 paquetes maliciosos vinculados a la actividad desde principios de enero de 2025.
El descubrimiento es parte de una campaña más amplia de compromiso de la dependencia de suministro de software emprendida por grupos de hackers norcoreanos. Esto incluye el envenenamiento del popular paquete npm de Axios para distribuir un implante llamado WAVESHAPER.V2 posteriormente de tomar el control de la cuenta npm del mantenedor del paquete a través de una campaña de ingeniería social personalizada.
El ataque se ha atribuido a un actor de amenazas con motivación financiera conocido como UNC1069, que se superpone con BlueNoroff, Sapphire Sleet y Stardust Chollima. Security Alliance (SEAL), en un crónica publicado hoy, dijo que bloqueó 164 dominios vinculados a UNC1069 que se hacían producirse por servicios como Microsoft Teams y Teleobjetivo entre el 6 de febrero y el 7 de abril de 2026.
“UNC1069 opera campañas de ingeniería social de desestimación presión durante varias semanas en Telegram, LinkedIn y Slack, ya sea haciéndose producirse por contactos conocidos o marcas creíbles o aprovechando el entrada a cuentas individuales y de empresas previamente comprometidas, antaño de entregar un enlace fraudulento a una reunión de Teleobjetivo o Microsoft Teams”, dijo SEAL.
Estos enlaces de reuniones falsos se utilizan para servir señuelos similares a ClickFix, lo que resulta en la ejecución de malware que contacta a un servidor controlado por un atacante para robar datos y realizar actividades posteriores a la explotación dirigidas en Windows, macOS y Linux.
“Los operadores deliberadamente no actúan inmediatamente posteriormente del entrada original. El implante queda inactivo o pasivo durante un período posteriormente del compromiso”, añadió SEAL. “El objetivo normalmente reprograma la señal fallida y continúa con las operaciones normales, sin darse cuenta de que el dispositivo está comprometido. Esta paciencia extiende la ventana operativa y maximiza el valía extraído antaño de que se active cualquier respuesta al incidente”.
En una confesión compartida con The Hacker News, Microsoft dijo que los actores de amenazas norcoreanos con fines financieros están evolucionando activamente su conjunto de herramientas e infraestructura, utilizando dominios que se hacen producirse por instituciones financieras con sede en EE. UU. y aplicaciones de videoconferencia para ingeniería social.
“Lo que estamos viendo constantemente es una transformación continua en la forma en que operan los actores motivados financieramente y vinculados a la RPDC, cambios en las herramientas, la infraestructura y los objetivos, pero con una clara continuidad en el comportamiento y la intención”, dijo Sherrod DeGrippo, administrador genérico de inteligencia de amenazas de Microsoft.
