Piratas informáticos norcoreanos introducen paquetes infectados con malware en el registro de npm.

Investigadores en ciberseguridad han detectado 67 paquetes maliciosos en npm, que forman parte de una campaña conocida como Contagious Interview, y se sospecha que son desplegados por atacantes norcoreanos. Estos hackers han estado utilizando paquetes maliciosos para intentar comprometer productos tecnológicos occidentales a través de ataques a la cadena de suministro.

Según investigadores de Socket, esta reciente entrega de 67 paquetes se considera una continuación de un ataque anterior que involucró la publicación de 35 paquetes. Kirill Boychenko, uno de los investigadores, señaló que la operación de Contagious Interview sigue una dinámica de "whack-a-mole", donde los defensores detectan y reportan los paquetes maliciosos, y los actores de amenazas norcoreanos rápidamente responden subiendo nuevas variantes utilizando estrategias similares o ligeramente modificadas.

La carga maliciosa que se sube a npm es solo una parte de un proceso más elaborado. El ataque real probablemente ocurre en plataformas como LinkedIn, Telegram o Discord, donde los atacantes se hacen pasar por reclutadores o gerentes de recursos humanos de conocidas empresas tecnológicas para contactar a desarrolladores de software con ofertas de empleo. El proceso de entrevista consta de varias rondas de conversaciones y concluye con una tarea de prueba que requiere que el aspirante descargue y ejecute un paquete de npm, lo que puede llevar a que su dispositivo quede comprometido. Cabe destacar que otros usuarios también pueden descargar accidentalmente paquetes contaminados.

En total, estos paquetes maliciosos han recibido más de 17,000 descargas, lo que amplía el objetivo del ataque. Los hackers norcoreanos son conocidos por sus fraudes relacionados con empleos y empleados ficticios, cuyos propósitos varían entre el ciberespionaje y el robo financiero. Si no están robando propiedad intelectual o datos confidenciales, es probable que estén hurtando criptomonedas que el gobierno utiliza para financiar su aparato estatal y su programa de armas nucleares.

Las campañas emplean diversos tipos de malware, desde BeaverTail infostealer hasta XORIndex Loader y HexEval, entre otros. Los investigadores concluyeron que los actores de la amenaza Contagious Interview continuarán diversificando su portafolio de malware, rotando y reutilizando alias de mantenedores de npm, así como incorporando variantes recién observadas, incluyendo XORIndex Loader.