Los actores de amenazas norcoreanos detrás del Entrevista contagiosa La campaña ha vuelto a modificar sus tácticas mediante el uso de servicios de almacenamiento JSON para almacenar cargas maliciosas.
«Los actores de amenazas han recurrido recientemente a la utilización de servicios de almacenamiento JSON, como JSON Keeper, JSONSilo y npoint.io, para alojar y entregar malware a partir de proyectos de código troyanizado, con el atractivo», dijeron los investigadores de NVISO Bart Parys, Stef Collart y Efstratios Lontzetidis dijo en un informe del jueves.
Básicamente, la campaña consiste en acercarse a posibles objetivos en sitios de redes profesionales como LinkedIn, ya sea con el pretexto de realizar una evaluación del trabajo o de colaborar en un proyecto, como parte del cual se les indica que descarguen un proyecto de demostración alojado en plataformas como GitHub, GitLab o Bitbucket.
En uno de estos proyectos descubiertos por NVISO, se descubrió que un archivo llamado «server/config/.config.env» contiene un valor codificado en Base64 que se hace pasar por una clave de API, pero, en realidad, es una URL a un servicio de almacenamiento JSON como JSON Keeper, donde la carga útil de la siguiente etapa se almacena en formato ofuscado.
La carga útil es un malware de JavaScript conocido como BeaverTail, que es capaz de recopilar datos confidenciales y lanzar una puerta trasera de Python llamada InvisibleFerret. Si bien la funcionalidad de la puerta trasera se ha mantenido prácticamente sin cambios con respecto a cuando era primera documentación de Palo Alto Networks a finales de 2023, un cambio notable consiste en obtener una carga útil adicional denominada TsunamiKit de Pastebin.
Vale la pena señalar que el uso de TsunamiKit como parte de la campaña Contagious Interview fue resaltado de ESET en septiembre de 2025, y los ataques también eliminaron Tropidoor y AkDoorTea. El kit de herramientas es capaz de tomar las huellas dactilares del sistema, recopilar datos y obtener más cargas útiles desde una dirección .onion codificada que actualmente no está conectada.
«Está claro que los actores detrás de Contagious Interview no se están quedando atrás y están intentando crear una red muy amplia para comprometer a cualquier desarrollador (de software) que pueda parecerles interesante, lo que resulta en la exfiltración de datos confidenciales e información sobre monederos criptográficos», concluyeron los investigadores.
«El uso de sitios web legítimos como JSON Keeper, JSON Silo y npoint.io, junto con repositorios de código como GitLab y GitHub, subraya la motivación del actor y sus intentos sostenidos por operar sigilosamente y mezclarse con el tráfico normal».