Los actores de amenaza de Corea del Norte vinculados a la campaña de entrevistas infecciosas han publicado otro conjunto de 67 paquetes maliciosos en el registro de NPM, destacando sus intentos continuos de envenenar el ecosistema de código abierto a través de ataques de cadena de suministro de software.
El paquete por socket atrae más de 17,000 descargas e incorpora XorIndex, una versión previamente indocumentada del nombre de código de cargador de malware. Esta actividad es una extensión de la onda de ataque descubierta el mes pasado e incluye una distribución de paquetes de 35 NPM desplegados de otro cargador llamado Hexebal.
«Las operaciones de entrevistas infecciosas siguen la dinámica del centro comercial donde los defensores detectan e informan paquetes maliciosos. Los actores de amenaza de Corea del Norte responden rápidamente al cargar nuevas variantes utilizando el mismo libro de jugadas de evolucionamiento similar o ligeramente evolucionado».
La entrevista contagiosa es el nombre asignado a una campaña de larga data que intenta seducir a los desarrolladores como parte de una tarea de codificación destinada a descargar y ejecutar proyectos de código abierto. Publicado por primera vez a fines de 2023, este grupo de amenazas también se está rastreando como un desarrollo falso, el famoso Cholima, Gwishin Gang, Tenacious Punsan, UNC5342 y Void Dokeebi.
Se considera que la actividad complementa el infame esquema de trabajadores de la tecnología de la información remota (TI) de Pyongyang, empleando una estrategia que se dirige a los desarrolladores ya empleados por empresas interesadas en lugar de solicitar un trabajo.
El encadenamiento de ataque con paquetes de NPM maliciosos es bastante simple, ya que actúa como un conducto para el cargador JavaScript conocido y el robador conocido como Beaverail. Se utiliza para extraer datos de los navegadores web y las billeteras de criptomonedas y para implementar una puerta trasera de Python llamada InvisibleFerret.
«Las dos campañas actualmente operan en paralelo. XorIndex ha acumulado más de 9,000 descargas en ventanas cortas (junio a julio de 2025), mientras que Hexebal continúa a un ritmo constante, con más de 8,000 descargas adicionales en el paquete recién descubierto», dice Boychenko.
El cargador XorIndex, como HexeVal, los perfiles comprometió las máquinas y utiliza puntos finales asociados con la infraestructura de comando y control de código duro (C2) para obtener la dirección IP externa del host. La información recopilada se convierte en un faro en el servidor remoto, y luego se inicia Beaverail.
Un análisis posterior de estos paquetes reveló una evolución estable del cargador, pasando de un prototipo óseo desnudo a un sofisticado malware sigiloso. Se ha encontrado que las primeras iteraciones carecen de ofuscaciones y capacidades de reconocimiento, pero mantienen intacta la funcionalidad central, con versiones de segunda y tercera generación que introducen capacidades de reconocimiento de sistemas rudimentarios.
«Los actores de amenaza de las entrevistas contagiosas continuarán diversificando su cartera de malware, girando a través de nuevos alias de mantenedor de NPM, reutilizando cargadores como familias de malware como Hexe Bar Loader y Beaverwelter, y desplegando activamente variaciones recién observadas como los cargadores de XorIndex», dijo Boychenko.
Source link
