Los actores de amenaza de Corea del Norte vinculados a la campaña de entrevista contagiosa se han observado que publica otro conjunto de 67 paquetes maliciosos en el registro de NPM, lo que subraya los intentos continuos de envenenar el ecosistema de código abierto a través de ataques de la cadena de suministro de software.
Los paquetes, por enchufe, han atraído más de 17,000 descargas e incorporan una versión previamente indocumentada de un cargador de malware con nombre en código Xoríndex. La actividad es una expansión de una onda de ataque manchada el mes pasado que implicó la distribución de paquetes de 35 npm que desplegaron otro cargador denominado HexeVal.
«La operación contagiosa de la entrevista continúa siguiendo una dinámica de Whack-a-Mole, donde los defensores detectan e informan paquetes maliciosos, y los actores de amenaza de Corea del Norte responden rápidamente cargando nuevas variantes utilizando los mismos libros de jugadas, similares o ligeramente evolucionados», dijo el investigador de socket Kirill Boychenko.
La entrevista contagiosa es el nombre asignado a una campaña de larga duración que busca atraer a los desarrolladores a descargar y ejecutar un proyecto de código abierto como parte de una supuesta tarea de codificación. Primero revelado públicamente a fines de 2023, el clúster de amenazas también se rastrea como el desarrollo engañado, el famoso Chollima, la pandilla Gwisin, el tenaz Pungsan, UNC5342 y el vacío Dokkaebi.
Se cree que la actividad es complementaria al infame esquema de trabajadores de la tecnología de la información remota (TI) de Pyongyang, adoptando la estrategia de dirigir a los desarrolladores ya empleados en empresas de interés en lugar de solicitar un trabajo.
Las cadenas de ataque que usan paquetes de NPM maliciosos son bastante sencillos, ya que sirven como un conducto para un cargador y robador de JavaScript conocido llamado Beaverail, que posteriormente se usa para extraer datos de los navegadores web y las billeteras de criptomonedas, así como también un backdour de Python referido como el servicio invisible.
«Las dos campañas ahora operan en paralelo. XorIndex ha acumulado más de 9,000 descargas en una ventana corta (junio a julio de 2025), mientras que HexeVal continúa a un ritmo constante, con más de 8,000 descargas adicionales en los paquetes recién descubiertos», dijo Boychenko.
El cargador XorIndex, como HexeVal, perfila la máquina comprometida y utiliza puntos finales asociados con la infraestructura de comando y control (C2) codificada por codificación para obtener la dirección IP externa del host. La información recopilada se bata a un servidor remoto, después de lo cual se inicia Beaverail.
Un análisis posterior de estos paquetes ha descubierto una evolución constante del cargador, progresando de un prototipo de huesos a un malware sofisticado y sigiloso. Se ha encontrado que las primeras iteraciones carecen de ofuscaciones y capacidades de reconocimiento, al tiempo que mantienen intacta su funcionalidad central, con versiones de segunda y tercera generación que introducen capacidades de reconocimiento del sistema rudimentario.
«Los actores de amenaza de entrevista contagiosos continuarán diversificando su cartera de malware, girando a través de nuevos alias de mantenedor de NPM, reutilizando cargadores como HexeVal Loader y familias de malware como Beaverail e InvisibleFerret, e desplegando activamente variantes recién observados, incluido el cargador XorIndex», dijo Boychenko.