Los actores de amenazas norcoreanos detrás de la campaña Contagious Interview han modificado una vez más sus tácticas utilizando servicios de almacenamiento JSON para organizar cargas útiles maliciosas.
«Los actores de amenazas han recurrido recientemente a la utilización de servicios de almacenamiento JSON como JSON Keeper, JSONsilo y npoint.io para alojar y entregar malware desde proyectos de código troyanizado, con el atractivo», dijeron los investigadores de NVISO Bart Parys, Stef Collart y Efstratios Lontzetidis en un informe del jueves.
Básicamente, la campaña consiste en acercarse a objetivos potenciales en sitios de redes profesionales como LinkedIn, ya sea con el pretexto de realizar una evaluación laboral o colaborar en un proyecto, como parte del cual se les indica que descarguen un proyecto de demostración alojado en plataformas como GitHub, GitLab o Bitbucket.
En uno de esos proyectos detectado por NVISO, se descubrió que un archivo llamado «server/config/.config.env» contiene un valor codificado en Base64 que se hace pasar por una clave API, pero, en realidad, es una URL a un servicio de almacenamiento JSON como JSON Keeper donde la carga útil de la siguiente etapa se almacena en formato ofuscado.
La carga útil es un malware de JavaScript conocido como BeaverTail, que es capaz de recopilar datos confidenciales y abrir una puerta trasera de Python llamada InvisibleFerret. Si bien la funcionalidad de la puerta trasera se ha mantenido prácticamente sin cambios desde que Palo Alto Networks la documentó por primera vez a fines de 2023, un cambio notable implica obtener una carga útil adicional denominada TsunamiKit de Pastebin.
Vale la pena señalar que ESET destacó el uso de TsunamiKit como parte de la campaña Entrevista Contagiosa en septiembre de 2025, y los ataques también eliminaron a Tropidoor y AkdoorTea. El kit de herramientas es capaz de tomar huellas digitales del sistema, recopilar datos y recuperar más cargas útiles de una dirección .onion codificada que está actualmente fuera de línea.
«Está claro que los actores detrás de Contagious Interview no se están quedando atrás y están tratando de lanzar una red muy amplia para comprometer a cualquier desarrollador (de software) que pueda parecerles interesante, lo que resulta en la exfiltración de datos confidenciales e información de billeteras criptográficas», concluyeron los investigadores.
«El uso de sitios web legítimos como JSON Keeper, JSON Silo y npoint.io, junto con repositorios de código como GitLab y GitHub, subraya la motivación del actor y sus intentos sostenidos de operar sigilosamente y mezclarse con el tráfico normal».