Los actores de amenazas norcoreanos detrás de la campaña Contagious Interview han modificado una vez más sus tácticas utilizando servicios de almacenamiento JSON para organizar sus cargas maliciosas.
Los investigadores de NVISO Bart Parys, Stef Collart y Efstratios Lontzetidis dijeron en un informe del jueves que «los atacantes han estado utilizando recientemente servicios de almacenamiento JSON como JSON Keeper, JSONsilo y npoint.io para alojar y distribuir malware de proyectos de código troyanizado».
Básicamente, la campaña se acerca a objetivos potenciales en sitios de redes profesionales como LinkedIn con el pretexto de realizar una evaluación de trabajo o colaborar en un proyecto y, como parte de esto, se les indica que descarguen proyectos de demostración alojados en plataformas como GitHub, GitLab y Bitbucket.
En uno de esos proyectos descubierto por NVISO, un archivo llamado «server/config/.config.env» contenía un valor codificado en Base64 disfrazado de clave API, pero en realidad se descubrió que era una URL a un servicio de almacenamiento JSON, como JSON Keeper, donde la carga útil de la siguiente etapa se almacenaba en un formato ofuscado.
La carga útil es un malware de JavaScript conocido como BeaverTail que tiene la capacidad de recopilar datos confidenciales y colocar una puerta trasera de Python llamada InvisibleFerret. La funcionalidad de la puerta trasera se ha mantenido prácticamente sin cambios desde que Palo Alto Networks la documentó por primera vez a finales de 2023, pero un cambio notable es que obtiene una carga útil adicional de Pastebin llamada TsunamiKit.
Vale la pena señalar que ESET destacó el uso de TsunamiKit como parte de la campaña Contagious Interview en septiembre de 2025, y ese ataque también eliminó a Tropidoor y AkdoorTea. Este conjunto de herramientas es capaz de tomar huellas digitales del sistema, recopilar datos y recuperar cargas útiles adicionales de direcciones .onion codificadas que actualmente están fuera de línea.
«Está claro que los atacantes detrás de Contagious Interviews no se quedan atrás y están intentando lanzar una red muy amplia para comprometer a los desarrolladores (de software) potencialmente interesados, lo que resulta en la exposición de datos confidenciales e información de billeteras de criptomonedas», concluyeron los investigadores.
«El uso de sitios web legítimos como JSON Keeper, JSON Silo y npoint.io, así como repositorios de código como GitLab y GitHub, resalta las motivaciones del atacante y sus continuos intentos de operar de forma encubierta y mezclarse con el tráfico normal».
Source link
