Los actores de amenaza de Corea del Ideal vinculados a la campaña de entrevista contagiosa se han observado que publica otro conjunto de 67 paquetes maliciosos en el registro de NPM, lo que subraya los intentos continuos de envenenar el ecosistema de código franco a través de ataques de la dependencia de suministro de software.
Los paquetes, por enchufe, han atraído más de 17,000 descargas e incorporan una lectura previamente indocumentada de un cargador de malware con nombre en código Xoríndex. La actividad es una expansión de una onda de ataque manchada el mes pasado que implicó la distribución de paquetes de 35 npm que desplegaron otro cargador denominado HexeVal.
“La operación contagiosa de la entrevista continúa siguiendo una dinámica de Whack-a-Mole, donde los defensores detectan e informan paquetes maliciosos, y los actores de amenaza de Corea del Ideal responden rápidamente cargando nuevas variantes utilizando los mismos libros de jugadas, similares o tenuemente evolucionados”, dijo el investigador de socket Kirill Boychenko.
La entrevista contagiosa es el nombre asignado a una campaña de larga duración que búsqueda atraer a los desarrolladores a descargar y ejecutar un plan de código franco como parte de una supuesta tarea de codificación. Primero revelado públicamente a fines de 2023, el clúster de amenazas además se rastrea como el avance engañado, el reconocido Chollima, la pandilla Gwisin, el tenaz Pungsan, UNC5342 y el vano Dokkaebi.
Se cree que la actividad es complementaria al infame esquema de trabajadores de la tecnología de la información remota (TI) de Pyongyang, adoptando la organización de dirigir a los desarrolladores ya empleados en empresas de interés en punto de solicitar un trabajo.
Las cadenas de ataque que usan paquetes de NPM maliciosos son harto sencillos, ya que sirven como un conducto para un cargador y robador de JavaScript conocido llamado Beaverail, que luego se usa para extraer datos de los navegadores web y las billeteras de criptomonedas, así como además un backdour de Python referido como el servicio invisible.
“Las dos campañas ahora operan en paralelo. XorIndex ha acumulado más de 9,000 descargas en una ventana corta (junio a julio de 2025), mientras que HexeVal continúa a un ritmo constante, con más de 8,000 descargas adicionales en los paquetes recién descubiertos”, dijo Boychenko.
El cargador XorIndex, como HexeVal, perfila la máquina comprometida y utiliza puntos finales asociados con la infraestructura de comando y control (C2) codificada por codificación para obtener la dirección IP externa del host. La información recopilada se guardapolvo a un servidor remoto, a posteriori de lo cual se inicia Beaverail.
Un descomposición posterior de estos paquetes ha descubierto una transformación constante del cargador, progresando de un prototipo de huesos a un malware sofisticado y sigiloso. Se ha incompatible que las primeras iteraciones carecen de ofuscaciones y capacidades de gratitud, al tiempo que mantienen intacta su funcionalidad central, con versiones de segunda y tercera reproducción que introducen capacidades de gratitud del sistema rudimentario.
“Los actores de amenaza de entrevista contagiosos continuarán diversificando su cartera de malware, girando a través de nuevos mote de mantenedor de NPM, reutilizando cargadores como HexeVal Loader y familias de malware como Beaverail e InvisibleFerret, e desplegando activamente variantes recién observados, incluido el cargador XorIndex”, dijo Boychenko.
