top of page
Buscar

Hackers norte-coreanos criam ecossistema Multi-Stage de malware baseado em serviços JSON e repositórios Git

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • 15 de nov.
  • 2 min de leitura

ree

Hackers norte-coreanos por trás da campanha Contagious Interview voltaram a atualizar suas táticas, desta vez usando serviços de armazenamento JSON para distribuir cargas maliciosas de forma discreta. Segundo um relatório publicado nesta quinta-feira pelos pesquisadores da NVISO, Bart Parys, Stef Collart e Efstratios Lontzetidis, os invasores passaram a utilizar plataformas como JSON Keeper, JSONsilo e npoint.io para hospedar e entregar malware embutido em projetos de código supostamente legítimos.


A operação segue um padrão já conhecido: os hackers abordam desenvolvedores e profissionais de tecnologia em redes como LinkedIn, fingindo conduzir avaliações técnicas ou propondo colaborações. Em seguida, instruem as vítimas a baixar projetos de demonstração hospedados em repositórios como GitHub, GitLab ou Bitbucket.



ree

Em um desses projetos analisados pela NVISO, um arquivo chamado "server/config/.config.env" trazia um valor Base64 que se passava por uma chave de API, mas, na verdade, escondia uma URL para um serviço JSON onde a próxima etapa da infecção estava armazenada de forma ofuscada.


Essa etapa inclui BeaverTail, um malware em JavaScript projetado para coletar dados sensíveis e instalar um backdoor em Python chamado InvisibleFerret. Embora suas funcionalidades permaneçam quase idênticas às documentadas originalmente pela Palo Alto Networks em 2023, a NVISO identificou uma novidade: o backdoor agora baixa um payload adicional denominado TsunamiKit a partir do Pastebin.


Pesquisadores da ESET já haviam alertado, em setembro de 2025, que o TsunamiKit também está associado à entrega de outras ferramentas maliciosas, como Tropidoor e AkdoorTea, capazes de realizar fingerprinting do sistema, roubo de informações e download de mais cargas a partir de um endereço .onion hoje inativo.


Os pesquisadores afirmam que os hackers por trás da campanha continuam ampliando sua superfície de ataque para comprometer o maior número possível de desenvolvedores que considerem “interessantes”, com foco no roubo de dados sensíveis e carteiras de criptomoedas. O uso de sites legítimos — como repositórios de código e serviços JSON — demonstra, segundo eles, a intenção clara de operar de forma furtiva, se misturar ao tráfego normal e dificultar a detecção.


Via - THN

 
 
 

Comentários

bottom of page