Hackers norte-coreanos, responsáveis pela campanha Contagious Interview, intensificaram seus ataques ao inundar o repositório npm com 197 pacotes maliciosos. Esses pacotes, baixados mais de 31 mil vezes, têm como objetivo distribuir uma variante do malware OtterCookie, que combina características do BeaverTail e versões anteriores do OtterCookie.
Os pacotes maliciosos, como bcryptjs-node e react-adparser, são projetados para evitar detecção em máquinas virtuais, coletar dados sensíveis e estabelecer um canal de comando e controle (C2). Isso permite aos atacantes obter acesso remoto, roubar dados do clipboard, registrar teclas digitadas, capturar telas e acessar credenciais de navegadores e carteiras de criptomoedas.
Investigações revelaram que os pacotes se conectam a uma URL Vercel codificada, que busca o payload do OtterCookie em um repositório GitHub controlado por hackers. A conta GitHub usada para a entrega, stardev0914, foi desativada. Segundo o pesquisador de segurança Kirill Boychenko, a campanha Contagious Interview é uma das mais prolíficas, adaptando ferramentas para fluxos de trabalho modernos de desenvolvimento JavaScript e criptografia.
Os hackers criaram sites falsos com temas de avaliação, utilizando instruções ClickFix para entregar o malware GolangGhost, também conhecido como FlexibleFerret. Este malware, escrito em Go, se conecta a um servidor C2 e executa comandos do sistema operacional, coletando informações e manipulando arquivos. A persistência é garantida por um agente de inicialização no macOS que executa um script ao login do usuário.
Embora haja semelhanças, a campanha Contagious Interview se diferencia de outras operações norte-coreanas que visam infiltrar agentes em empresas legítimas. Esta campanha compromete indivíduos através de processos de recrutamento falsos, exercícios de codificação maliciosos e plataformas de contratação fraudulentas, transformando o processo de candidatura em uma arma.
Fonte:https://thehackernews.com/2025/11/north-korean-hackers-deploy-197-npm.html
