Los actores de amenazas norcoreanos detrás de la campaña Contagious Interview han modificado una vez más sus tácticas utilizando servicios de almacenamiento JSON para organizar cargas avíos maliciosas.
“Los actores de amenazas han recurrido recientemente a la utilización de servicios de almacenamiento JSON como JSON Keeper, JSONsilo y npoint.io para meter y entregar malware desde proyectos de código troyanizado, con el atractivo”, dijeron los investigadores de NVISO Bart Parys, Stef Collart y Efstratios Lontzetidis en un noticia del jueves.
Básicamente, la campaña consiste en acercarse a objetivos potenciales en sitios de redes profesionales como LinkedIn, ya sea con el pretexto de realizar una evaluación profesional o colaborar en un tesina, como parte del cual se les indica que descarguen un tesina de demostración alojado en plataformas como GitHub, GitLab o Bitbucket.
En uno de esos proyectos detectado por NVISO, se descubrió que un archivo llamado “server/config/.config.env” contiene un valencia codificado en Base64 que se hace acaecer por una secreto API, pero, en existencia, es una URL a un servicio de almacenamiento JSON como JSON Keeper donde la carga útil de la posterior etapa se almacena en formato ofuscado.
La carga útil es un malware de JavaScript conocido como BeaverTail, que es capaz de compilar datos confidenciales y rajar una puerta trasera de Python llamamiento InvisibleFerret. Si adecuadamente la funcionalidad de la puerta trasera se ha mantenido prácticamente sin cambios desde que Palo Detención Networks la documentó por primera vez a fines de 2023, un cambio importante implica obtener una carga útil adicional denominada TsunamiKit de Pastebin.
Vale la pena señalar que ESET destacó el uso de TsunamiKit como parte de la campaña Entrevista Contagiosa en septiembre de 2025, y los ataques todavía eliminaron a Tropidoor y AkdoorTea. El kit de herramientas es capaz de tomar huellas digitales del sistema, compilar datos y recuperar más cargas avíos de una dirección .onion codificada que está actualmente fuera de ristra.
“Está claro que los actores detrás de Contagious Interview no se están quedando antes y están tratando de exhalar una red muy amplia para comprometer a cualquier desarrollador (de software) que pueda parecerles interesante, lo que resulta en la exfiltración de datos confidenciales e información de billeteras criptográficas”, concluyeron los investigadores.
“El uso de sitios web legítimos como JSON Keeper, JSON Silo y npoint.io, próximo con repositorios de código como GitLab y GitHub, subraya la motivación del actor y sus intentos sostenidos de ejecutar sigilosamente y mezclarse con el tráfico natural”.
