Wed, 08 Apr 2026
← VoltarUma campanha ligada à Coreia do Norte distribuiu pacotes maliciosos nos ecossistemas Go, Rust e PHP, personificando ferramentas de desenvolvedor para carregar malware.
A campanha persistente ligada à Coreia do Norte, conhecida como Contagious Interview, espalhou seus tentáculos ao publicar pacotes maliciosos direcionados aos ecossistemas Go, Rust e PHP. “Os pacotes do agente da ameaça foram projetados para se passar por ferramentas legítimas de desenvolvedor [...], enquanto funcionavam silenciosamente como carregadores de malware, estendendo o manual estabelecido da Contagious Interview para uma operação coordenada da cadeia de suprimentos entre ecossistemas”, disse o pesquisador de segurança da Socket, Kirill Boychenko, em um relatório de terça-feira. A lista completa de pacotes identificados é a seguinte - npm: dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt, debug-glitz PyPI: logutilkit, apachelicense, fluxhttp, License-utils-kit Go: github[.]com/golangorg/formstash, github[.]com/aokisasakidev/mit-license-pkg Rust: logtrace Packagist: golangorg/logkit Esses carregadores são projetados para buscar cargas úteis de segundo estágio específicas da plataforma, que acabam sendo um malware com recursos de infostealer e trojan de acesso remoto (RAT). Seu foco principal é coletar dados de navegadores da web, gerenciadores de senhas e carteiras de criptomoedas.
No entanto, uma versão do malware para Windows entregue via “license-utils-kit” incorpora o que é descrito por Socket como um “implante pós-comprometimento completo” equipado para executar comandos shell, registrar pressionamentos de tecla, roubar dados do navegador, fazer upload de arquivos, encerrar navegadores da web, implantar AnyDesk para acesso remoto, criar um arquivo criptografado e baixar módulos adicionais. “Isso torna este cluster notável não apenas pelo seu alcance entre ecossistemas, mas pela profundidade da funcionalidade pós-compromisso incorporada em pelo menos parte da campanha”, acrescentou Boychenko. O que torna o conjunto mais recente de bibliotecas digno de nota é que o código malicioso não é acionado durante a instalação. Em vez disso, ele é incorporado em funções aparentemente legítimas que se alinham com a finalidade anunciada do pacote.
Por exemplo, no caso de “logtrace”, o código está oculto em “Logger::trace(i32)”, um método que provavelmente não levantará suspeitas no desenvolvedor. A expansão da Contagious Interview em cinco ecossistemas de código aberto é mais um sinal de que a campanha é uma ameaça persistente e com bons recursos à cadeia de fornecimento, projetada para se infiltrar sistematicamente nessas plataformas como vias de acesso iniciais para violar ambientes de desenvolvedores para espionagem e ganho financeiro. Ao todo, a Socket disse ter identificado mais de 1.700 pacotes maliciosos ligados à atividade desde o início de janeiro de 2025. A descoberta faz parte de uma campanha mais ampla de comprometimento da cadeia de fornecimento de software empreendida por grupos de hackers norte-coreanos.
Isso inclui o envenenamento do popular pacote npm Axios para distribuir um implante chamado WAVESHAPER.V2 após assumir o controle da conta npm do mantenedor do pacote por meio de uma campanha de engenharia social personalizada. O ataque foi atribuído a um ator de ameaça com motivação financeira conhecido como UNC1069, que se sobrepõe a BlueNoroff, Sapphire Sleet e Stardust Chollima. Security Alliance (SEAL), em um relatório publicado hoje, disse que bloqueou 164 domínios vinculados ao UNC1069 que se faziam passar por serviços como Microsoft Teams e Zoom entre 6 de fevereiro e 7 de abril de 2026. "UNC1069 opera campanhas de engenharia social de baixa pressão e de várias semanas no Telegram, LinkedIn e Slack - seja personificando contatos conhecidos ou marcas confiáveis ou aproveitando o acesso a contas individuais e corporativas previamente comprometidas - antes de realizar uma reunião fraudulenta do Zoom ou do Microsoft Teams ligação", disse SEAL.
Esses links de reuniões falsos são usados para servir como iscas do tipo ClickFix, resultando na execução de malware que entra em contato com um servidor controlado pelo invasor para roubo de dados e atividades pós-exploração direcionadas no Windows, macOS e Linux. “Os operadores deliberadamente não agem imediatamente após o acesso inicial. O implante fica inativo ou passivo por um período após o comprometimento”, acrescentou SEAL. “O alvo normalmente reprograma a chamada com falha e continua as operações normais, sem saber que o dispositivo está comprometido.
Essa paciência estende a janela operacional e maximiza o valor extraído antes que qualquer resposta a incidente seja acionada.” Em um comunicado compartilhado com o The Hacker News, a Microsoft disse que os atores de ameaças norte-coreanos com orientação financeira estão evoluindo ativamente seu conjunto de ferramentas e infraestrutura, usando domínios disfarçados de instituições financeiras sediadas nos EUA e aplicativos de videoconferência para engenharia social. “O que estamos vendo consistentemente é uma evolução contínua na forma como os atores motivados financeiramente e ligados à RPDC operam, mudanças nas ferramentas, infraestrutura e direcionamento, mas com clara continuidade no comportamento e na intenção”, disse Sherrod DeGrippo, gerente geral de inteligência de ameaças da Microsoft.