Negli ultimi mesi, il panorama della sicurezza informatica ha assistito all’intensificarsi delle attività di attori nordcoreani che sfruttano la supply chain per diffondere malware sofisticati. Recentemente, una campagna denominata Contagious Interview ha visto la pubblicazione di ben 197 nuovi pacchetti malevoli sulla piattaforma npm, molto utilizzata dagli sviluppatori JavaScript. Questi pacchetti, scaricati oltre 31.000 volte, sono progettati per veicolare una versione aggiornata del malware OtterCookie, che unisce funzionalità già note in precedenti minacce come BeaverTail.
Principali pacchetti npm coinvolti
All’interno di questa campagna, sono stati individuati diversi pacchetti npm dannosi, tra cui bcryptjs-node, cross-sessions, json-oauth, node-tailwind, react-adparser, session-keeper, tailwind-magic, tailwindcss-forms e webpack-loadcss. Una volta installato, il malware cerca attivamente di evitare l’analisi in sandbox o su macchine virtuali, effettua una profilazione del sistema e si connette a un server di comando e controllo. Da qui, gli attaccanti ottengono accesso remoto, possono registrare i tasti premuti, rubare contenuti degli appunti, catturare schermate e sottrarre credenziali dei browser, documenti e persino dati relativi a portafogli di criptovalute.
Integrazione nei workflow moderni e infrastruttura di attacco
Un aspetto rilevante di questa campagna è la sua integrazione perfetta nei moderni workflow di sviluppo JavaScript e in ambito crypto, dimostrando l’adattamento avanzato degli attori nordcoreani alle tecnologie più diffuse. L’infrastruttura sfruttata include URL Vercel hardcoded e repository GitHub controllati dagli attaccanti, anche se molti di questi vengono regolarmente chiusi una volta scoperti.
Social engineering e la diffusione di ulteriori malware
Parallelamente, è stato osservato il ricorso a siti web di false selezioni lavorative che, tramite istruzioni simili a ClickFix, convincono le vittime a installare altri malware, come GolangGhost (noto anche come FlexibleFerret o WeaselStore), scritto in Go. Questo secondo malware stabilisce una persistenza su macOS sfruttando LaunchAgent e intercetta informazioni sensibili attraverso richieste di accesso fittizie alla videocamera o alla password di Chrome. I dati raccolti vengono poi inviati a account Dropbox gestiti dagli attaccanti.
Obiettivi e vettori d’attacco
A differenza delle campagne che mirano a infiltrare IT worker nordcoreani in aziende legittime, Contagious Interview punta direttamente ai singoli sviluppatori, sfruttando finti processi di selezione, esercitazioni di coding e piattaforme di reclutamento fraudolente. In questo modo, il processo stesso di candidatura diventa un vettore di attacco, rendendo fondamentale per le aziende e i professionisti IT aumentare la consapevolezza sui rischi legati ai pacchetti open source e ai processi di assunzione digitali.
