Добро пожаловать на стажировку. Первое задание — отдать криптовалюту и пароли
NewsMakerКогда «учебный код» учит только одному — не доверяй никому.
С начала лета 2025 года злоумышленники, связанные с кампанией Contagious Interview и предположительно действующие в интересах КНДР, вновь активизировались, разместив в реестре npm 67 вредоносных пакетов. Это стало продолжением агрессивной стратегии внедрения вредоносного кода в цепочки поставок открытого программного обеспечения. Эти действия представляют собой эволюцию методов, впервые замеченных в предыдущем месяце, когда было выявлено 35 подобных пакетов, использующих загрузчик HexEval .
По данным Socket, новые пакеты были загружены более 17 тысяч раз и содержат до сих пор не описанную разновидность вредоносного загрузчика, получившую имя XORIndex. Как и в предыдущих случаях, главная цель подобных атак — компрометация разработчиков через npm-пакеты, маскирующиеся под легитимные инструменты или учебные задания. Стратегия обмана строится на том, чтобы втянуть специалистов в запуск якобы учебного проекта — метод, давно используемый в кампании Contagious Interview, впервые описанной в конце 2023 года.
Киберактивность также вписывается в общую схему работы ИТ-сотрудников КНДР, которые удалённо проникают в корпоративные сети, не претендуя на официальные должности, а получая доступ через уже нанятых сотрудников компаний.
Обнаруженные npm-пакеты действуют как носители известного JavaScript-загрузчика BeaverTail , который собирает данные из браузеров, криптовалютных кошельков, а также устанавливает Python-бэкдор под названием InvisibleFerret . Новая волна атак теперь представляет собой два параллельно работающих направления: HexEval и XORIndex. Только с июня по июль 2025 года загрузчик XORIndex был скачан более 9 тысяч раз, в то время как HexEval за то же время получил свыше 8 тысяч загрузок.
Загрузчик XORIndex, аналогично HexEval, сканирует систему жертвы и связывается с зашитой в коде инфраструктурой командного управления, чтобы определить внешний IP-адрес устройства. Затем собранные данные отправляются на удалённый сервер, после чего активируется модуль BeaverTail. Исследование заражённых пакетов показало, что этот загрузчик прошёл несколько этапов доработки — от примитивного прототипа до более изощрённой версии с базовыми функциями разведки и улучшенной скрытностью.
Специалисты предупреждают, что группа Contagious Interview не собирается останавливаться. Она продолжает менять ники в реестре npm, перезапуская аналогичные вредоносные модули с небольшими изменениями. Также продолжается активное повторное использование компонентов вроде HexEval, XORIndex, BeaverTail и InvisibleFerret, что говорит о продуманной и гибкой архитектуре всей операции.
С начала лета 2025 года злоумышленники, связанные с кампанией Contagious Interview и предположительно действующие в интересах КНДР, вновь активизировались, разместив в реестре npm 67 вредоносных пакетов. Это стало продолжением агрессивной стратегии внедрения вредоносного кода в цепочки поставок открытого программного обеспечения. Эти действия представляют собой эволюцию методов, впервые замеченных в предыдущем месяце, когда было выявлено 35 подобных пакетов, использующих загрузчик HexEval .
По данным Socket, новые пакеты были загружены более 17 тысяч раз и содержат до сих пор не описанную разновидность вредоносного загрузчика, получившую имя XORIndex. Как и в предыдущих случаях, главная цель подобных атак — компрометация разработчиков через npm-пакеты, маскирующиеся под легитимные инструменты или учебные задания. Стратегия обмана строится на том, чтобы втянуть специалистов в запуск якобы учебного проекта — метод, давно используемый в кампании Contagious Interview, впервые описанной в конце 2023 года.
Киберактивность также вписывается в общую схему работы ИТ-сотрудников КНДР, которые удалённо проникают в корпоративные сети, не претендуя на официальные должности, а получая доступ через уже нанятых сотрудников компаний.
Обнаруженные npm-пакеты действуют как носители известного JavaScript-загрузчика BeaverTail , который собирает данные из браузеров, криптовалютных кошельков, а также устанавливает Python-бэкдор под названием InvisibleFerret . Новая волна атак теперь представляет собой два параллельно работающих направления: HexEval и XORIndex. Только с июня по июль 2025 года загрузчик XORIndex был скачан более 9 тысяч раз, в то время как HexEval за то же время получил свыше 8 тысяч загрузок.
Загрузчик XORIndex, аналогично HexEval, сканирует систему жертвы и связывается с зашитой в коде инфраструктурой командного управления, чтобы определить внешний IP-адрес устройства. Затем собранные данные отправляются на удалённый сервер, после чего активируется модуль BeaverTail. Исследование заражённых пакетов показало, что этот загрузчик прошёл несколько этапов доработки — от примитивного прототипа до более изощрённой версии с базовыми функциями разведки и улучшенной скрытностью.
Специалисты предупреждают, что группа Contagious Interview не собирается останавливаться. Она продолжает менять ники в реестре npm, перезапуская аналогичные вредоносные модули с небольшими изменениями. Также продолжается активное повторное использование компонентов вроде HexEval, XORIndex, BeaverTail и InvisibleFerret, что говорит о продуманной и гибкой архитектуре всей операции.