Hackers norte-coreanos lançam 197 pacotes npm infectados
Hackers norte-coreanos voltaram a usar o repositório npm como vetor de ataque, enviando 197 pacotes maliciosos que carregam a versão atualizada do malware OtterCookie.
Como a campanha Contagious Interview opera
De acordo com a empresa de segurança Socket, os pacotes já somam mais de 31 000 downloads. Os arquivos atuam como “loaders” e trazem nomes que se misturam a bibliotecas legítimas, como bcryptjs-node, node-tailwind e webpack-loadcss. Uma vez instalado, o código tenta detectar máquinas virtuais ou sandboxes, faz o perfil do sistema e estabelece um canal de comando e controle (C2). A partir daí, o atacante obtém um shell remoto e passa a coletar credenciais de navegador, documentos, histórico da área de transferência, capturas de tela e até carteiras de criptomoedas.
OtterCookie evolui e se confunde com BeaverTail
Pesquisadores da Cisco Talos já haviam apontado, no mês passado, que as funções do OtterCookie estão cada vez mais próximas das do BeaverTail. Na campanha atual, o loader se conecta a uma URL hospedada na plataforma Vercel (tetrismic.vercel.app) e faz download do payload a partir de um repositório GitHub controlado pelos invasores — o perfil stardev0914, já removido.
Segundo o pesquisador Kirill Boychenko, esse ritmo constante faz da Contagious Interview uma das campanhas mais prolíficas a explorar a cadeia de suprimentos do npm, adaptando-se perfeitamente ao ecossistema JavaScript e ao boom de projetos ligados a criptomoedas.
Engenharia social foca em falsas entrevistas de emprego
Além dos pacotes infectados, o grupo mantém sites de avaliação técnica falsos que instruem candidatos a “corrigir” supostos erros de câmera e microfone. O download oferecido instala o malware GolangGhost, escrito em Go, que se mantém persistente no macOS via LaunchAgent. Para sustentar o engano, um aplicativo de fachada exibe janelas que imitam prompts do Chrome, capturando senhas digitadas e enviando-as a uma conta do Dropbox.
Imagem: Internet
Embora exista sobreposição com esquemas em que profissionais de TI norte-coreanos se infiltram em empresas legítimas, a Contagious Interview se diferencia por comprometer indivíduos antes mesmo da contratação, usando exercícios de código e plataformas de recrutamento falsificadas.
Para quem desenvolve em JavaScript, a recomendação é auditar dependências, aplicar políticas de lockfile e monitorar atalhos suspeitos. Mais detalhes técnicos podem ser conferidos na análise do The Hacker News, que descreve toda a infraestrutura de ataque.
Ficou preocupado com a segurança do seu ambiente de desenvolvimento? Visite a Games In e confira nossos guias completos para manter seu setup protegido.
Crédito da imagem: The Hacker News Fonte: The Hacker News
