Atores de ameaça norte-coreanos usam sites JSON para entregar malware via código trojanizado

Atores de ameaça norte-coreanos usam sites JSON para entregar malware via código trojanizado

Atores de ameaça norte-coreanos usam sites JSON para entregar malware via código trojanizado

Atores do Entrevista Contagiosa da Coreia do Norte agora hospedam malware em sites de armazenamento JSON para entregar projetos de código trojanizado, informa a NVISO.

Atores ligados à Coreia do Norte por trás do Entrevista Contagiosa a campanha atualizou suas táticas, usando serviços de armazenamento JSON (por exemplo, JSON Keeper,JSONsiloenpoint.io) para hospedar e entregar malware por meio de projetos de código trojanizado, segundo um novo relatório da NVISO.

“A NVISO relata um novo desenvolvimento na campanha Contagious Interview. Os agentes ameaçadores recentemente recorreram a serviços legítimos de armazenamento JSON comoJSON Keeper,JSONsiloenpoint.iohospedar e entregar malware a partir de projetos de código trojanizado, com a isca sendo um caso de uso ou projeto demo como parte do processo de entrevista.” lê o relatório publicado NVISO.

O Entrevista Contagiosa campanha, ativa desde novembro de 2023 e vinculada à Coreia do Norte, tem como alvo desenvolvedores de software para Windows, Linux e macOS. Os atacantes focam em desenvolvedores que atuam com cripto e Web3.

Atacantes se passam por recrutadores em plataformas como o LinkedIn e usam táticas de engenharia social, incluindo entrevistas de emprego falsas e projetos demo trojanizados, para entregar malware. Suas cargas úteis geralmente incluem o BeaverTail e OtterCookie Ladrões de informação e o FurãoInvisível RATO.

A campanha mira vítimas no LinkedIn se passando por recrutadores ou colaboradores e enviando projetos demo a partir de plataformas semelhantes ao GitHub. Dentro desses projetos, um arquivo oculto contém uma “chave API” do Base64 que na verdade aponta para um serviço de armazenamento JSON hospedando o payload de malware ofuscado de próxima etapa.

Pesquisadores da NVISO observaram atacantes usando um projeto que esconde uma “chave API” Base64 que na verdade se conecta a um serviço de armazenamento JSON hospedando o próximo estágio de malware. O payload baixado é o BeaverTail, um infostealer em JavaScript que pode implantar o backdoor em Python InvisibleFerret. Embora o InvisibleFerret não tenha mudado muito desde 2023, agora ele também traz uma ferramenta extra chamada TsunamiKit do Pastebin.

Abaixo estão alguns exemplos de URLs decodificadas do Pastebin:

Pastebin URL Perfil Arquivo
hxxps[://]pastebin[.]com/u/NotingRobe2871_FranzStill8494 hxxps[://]pastebin[.]com/u/NotingRobe2871 FranzStill8494
hxxps[://]pastebin[.]com/u/ShadowGates1462_PastPhys9067 hxxps[://]pastebin[.]com/u/ShadowGates1462 PastPhys9067
hxxps[://]pastebin[.]com/u/AmendMinds7934_LoverTumor2853 hxxps[://]pastebin[.]com/u/AmendMinds7934 LoverTumor2853

Pesquisas anteriores mostraram que o TsunamiKit é usado junto com outros malwares para perfilar sistemas, roubar dados e extrair cargas adicionais de um servidor Tor (.onion) que está atualmente offline.

Os atacantes usam serviços de armazenamento JSON para hospedar seu malware. Ao analisar os indicadores, os pesquisadores descobriram mais repositórios maliciosos, cargas úteis e IPs relacionados, incluindo cargas úteis hospedadas na Railway. O NVISO publicou todos os IOCs identificados e notificou os provedores de armazenamento JSON afetados.

Os pesquisadores recomendam evitar rodar código de repositórios desconhecidos ou de “recrutadores” durante entrevistas iniciais. Se for necessário, revise cuidadosamente os arquivos de configuração em busca de sinais de malware.

“Está claro que os atores por trás da Contagious Interview não estão ficando para trás e estão tentando lançar uma rede muito ampla para comprometer qualquer desenvolvedor (de software) que possa parecer interessante para eles, resultando na exfiltração de dados sensíveis e informações de carteiras criptográficas.” conclui o post. “O uso de sites legítimos como o JSON Keeper, JSON Silo e npoint.io, junto com repositórios de código como Gitlab e GitHub, reforçam a motivação do ator e suas tentativas sustentadas de operar furtivamente e se misturar ao tráfego normal.”

Me siga no Twitter:@securityaffairseFacebookeMastodonte

PierluigiPaganini

(SecurityAffairs&ndfreixo; hacking, entrevista contagiosa)

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.