Negli ultimi tempi, i gruppi di cybercriminali nordcoreani hanno affinato le loro strategie, sfruttando servizi di storage JSON per veicolare malware in attacchi mirati, come dimostrato dalla campagna nota come Contagious Interview. Questa tecnica rappresenta un’evoluzione significativa rispetto ai metodi tradizionali, poiché l’utilizzo di servizi apparentemente legittimi come JSON Keeper, JSONsilo e npoint.io consente agli attaccanti di celare i propri payload, rendendo più difficile il rilevamento da parte delle difese di sicurezza.
Il modus operandi della campagna
Il modus operandi della campagna si basa sull’inganno ai danni di sviluppatori e professionisti IT contattati su piattaforme come LinkedIn. Gli aggressori si presentano come recruiter o collaboratori di progetti e invitano la vittima a scaricare un progetto demo ospitato su repository noti come GitHub, GitLab o Bitbucket. All’interno di questi progetti manipolati si nasconde un file di configurazione denominato “server/config/.config.env” che contiene, in apparenza, una chiave API codificata in Base64. In realtà, questa stringa cela un URL verso un servizio JSON dove è archiviato il vero payload, ulteriormente offuscato.
La catena d’infezione e i malware coinvolti
Il malware scaricato, identificato come BeaverTail, è un codice JavaScript in grado di raccogliere informazioni sensibili dal sistema della vittima e installare una backdoor Python chiamata InvisibleFerret. Quest’ultima, pur mantenendo funzionalità simili a quelle già osservate in precedenza, introduce una novità rilevante: il download di un ulteriore payload, denominato TsunamiKit, direttamente da Pastebin, noto servizio di pubblicazione anonima di testo.
Questa catena d’infezione, già documentata in passato, è stata arricchita con nuove varianti di malware come Tropidoor e AkdoorTea, tutte pensate per eseguire attività di fingerprinting, raccolta dati e download di ulteriori componenti dannosi da indirizzi .onion, tipici della rete Tor, anche se al momento non attivi. L’obiettivo finale appare chiaro: compromettere sviluppatori e professionisti IT, esfiltrare dati riservati e informazioni su wallet di criptovalute, sfruttando la fiducia nelle piattaforme di sviluppo e negli strumenti di collaborazione.
L’evoluzione delle tecniche di attacco
L’uso di servizi web legittimi per il delivery del malware permette agli attaccanti di mimetizzarsi nel traffico ordinario, eludendo molte soluzioni di sicurezza tradizionali. Questa evoluzione dimostra come i gruppi nordcoreani siano costantemente alla ricerca di nuovi vettori d’attacco e sottolinea l’importanza di una formazione continua e di processi rigorosi di verifica su codice e collaborazioni, soprattutto in ambito software development.