Virus & Malware Segurança Cibernética

Hackers norte-coreanos estão transformando ferramentas de desenvolvedor em canais de distribuição de malware

Pesquisadores de segurança cibernética identificaram duas campanhas cibernéticas maliciosas que apresentam semelhanças com um grupo persistente de ameaças norte-coreano conhecido como Contagious Interview (também chamado de Famous Chollima, HexagonalRodent e Void Dokkaebi). De acordo com um relatório publicado pela Proofpoint, o ator da ameaça foi encontrado coordenando campanhas de phishing usando temas de recrutamento para cargos de desenvolvedor ou revisão de código para atingir quase 100 organizações nos setores de finanças, criptomoedas, educação, tecnologia e vários outros.

Ravie Lakshmanan Terça - 16 de Junho de 2026 às 15:43
The Hacker News

Pesquisadores de segurança cibernética identificaram duas campanhas cibernéticas maliciosas que apresentam semelhanças com um grupo persistente de ameaças norte-coreano conhecido como Contagious Interview (também chamado de Famous Chollima, HexagonalRodent e Void Dokkaebi).

De acordo com um relatório publicado pela Proofpoint, o ator da ameaça foi encontrado coordenando campanhas de phishing usando temas de recrutamento para cargos de desenvolvedor ou revisão de código para atingir quase 100 organizações nos setores de finanças, criptomoedas, educação, tecnologia e vários outros. A atividade foi codinomeada UNK_DeadDrop.

"A cadeia de infecção começa com e-mails contendo links para repositórios do GitHub controlados pelos invasores que hospedam scripts maliciosos que resultam na execução de malware multiplataforma para macOS, Linux e Windows, incluindo um framework Go de código aberto chamado Overlord," disseram os pesquisadores da Proofpoint, Saher Naumaan e Carlos Rubio.

Um aspecto crucial que conecta a campanha a Pyongyang é o uso de projetos do Microsoft Visual Studio Code (VS Code) que empregam a técnica "runOn: folderOpen" para acionar a execução de código malicioso toda vez que o editor de código é aberto, sem necessidade de interação do usuário. Essa abordagem foi adotada pelos atores do Contagious Interview desde dezembro de 2025.

A atividade documentada pela empresa de segurança corporativa envolveu mais de 250 e-mails enviados durante um período de seis semanas para indivíduos de quase 100 organizações. Mais de 75% das entidades visadas estão localizadas nos Estados Unidos, seguidas pelo Reino Unido, Austrália, França, Brasil, Alemanha, Índia, Israel, Japão e Países Baixos.

Os e-mails contêm links para repositórios do GitHub disfarçados de tarefas técnicas ou projetos relacionados a criptomoedas, instruindo os destinatários a clonar o repositório e abri-lo no VS Code ou Cursor, resultando na execução de carregadores de malware específicos do sistema operacional para Linux, macOS e Windows. Iscas subsequentes observadas em maio de 2026 mudaram sua abordagem solicitando que os alvos revisassem seus projetos de código aberto.

O carregador - um script shell para macOS e Linux e um VBScript para sistemas Windows - é projetado para instalar uma extensão maliciosa do VS Code (VSIX) que se faz passar por um serviço legítimo do Google, enquanto se comunica com um servidor externo para facilitar a execução remota de comandos, reconhecimento do sistema e exfiltração de dados de extensões de carteira do navegador, credenciais e aplicativos de carteira de desktop.

As cadeias de infecção do Linux e macOS levam a uma versão customizada do framework Overlord de código aberto com capacidades para habilitar o roubo de dados. Ele também solicita que os usuários insiram sua senha do sistema usando um pop-up falso de segurança. A cadeia de ataque do Windows, por outro lado, depende do payload VBScript para executar um arquivo CMD, que então instala a extensão.

O objetivo final permanece o mesmo: roubar credenciais e dados de extensões e aplicativos de carteira de criptomoedas e exfiltrar os resultados para o servidor ("23.137.105[.]75:5173") via uma requisição HTTP POST.

"Diferentemente do agente Linux/macOS, o pipeline do Windows não mantém uma conexão persistente; ele carrega os arquivos ZIP, executa a limpeza e encerra," disse a Proofpoint.

Análises adicionais descobriram que o ator da ameaça anteriormente distribuía um binário Go do Windows do Overlord, mas desde então mudou para o novo método, provavelmente em uma tentativa de evitar a detecção.

A Proofpoint disse que está rastreando o UNK_DeadDrop como distinto do Contagious Interview devido a diferenças nos métodos de acesso inicial (LinkedIn vs. e-mail) e no uso do framework Overlord, que é diferente das famílias de malware customizadas que o grupo de hacking norte-coreano tradicionalmente implantou, incluindo BeaverTail, InvisibleFerret e OtterCookie.

"A atividade do UNK_DeadDrop sugere que operações alinhadas à Coreia do Norte visando desenvolvedores para ganho financeiro estão amadurecendo e evoluindo," disse a empresa. "A mudança de engenharia social ativa em plataformas de mídia social para conduzir falsas entrevistas para grandes campanhas de phishing com tema de recrutamento distribuindo links para repositórios maliciosos poderia indicar que um ator está industrializando e escalando operações."

A divulgação ocorre enquanto a Yeeth Security disse que descobriu três extensões maliciosas do VS Code chamadas "ByteBinTools.jupyter-powerdev-2026.6.8.vsix," "ToolCraft.jupyter-powertools-3.21.0.vsix," e "OLDev.markdown-mode-devtools-2.1.0.vsix" no marketplace oficial que estão disfarçadas como ferramentas aparentemente inofensivas de produtividade do Jupyter Notebook, mas são, na verdade, um "backdoor sofisticado de múltiplos estágios" projetado para contornar defesas de endpoint.

O malware suporta as seguintes funções:

  • Um site do SharePoint funcionando como fila de comandos, registro de vítimas e canal de exfiltração
  • Uma camada JavaScript que gerencia toda a comunicação de comando e controle (C2) via API Microsoft Graph e SharePoint
  • Componentes que permitem leitura, escrita e exfiltração arbitrária de arquivos, bem como execução de código usando um executável Windows e um script Python para Linux e macOS

O canal de C2, além de executar comandos ou scripts, pode emitir um terceiro tipo de comando chamado "host_action," que facilita operações do sistema de arquivos como pwd, ls, cd e cat, junto com upload e downloads de arquivos.

Embora não exista sobreposição direta com qualquer campanha norte-coreana documentada publicamente, a Yeeth Security disse que a divisão de ferramentas de desenvolvedor entre JavaScript e Python tem ecos no Contagious Interview, e que o mecanismo de autenticação da API Microsoft Graph dos artefatos maliciosos compartilha algumas semelhanças com os ataques de Dream Job do Grupo Lazarus detalhados pelo S2 Grupo LAB52 em outubro de 2025.

As descobertas coincidem com a descoberta de múltiplas campanhas vinculadas a atores de ameaças norte-coreanos nos últimos meses:

  • Um acompanhamento ao ataque à cadeia de suprimentos da Axios usando três pacotes npm maliciosos (redeem-onchain-sdk@1.0.7, nicegui@0.1.4 e period-newline@0.1.0) que entregam um ladrão de informações que exfilta dados coletados para uma infraestrutura C2 diferente. Os pacotes são listados como dependências em projetos do GitHub disfarçados de bots de negociação de criptomoedas. "Menos de 18 horas após os pacotes maliciosos da Axios serem removidos do NPM, o primeiro payload secundário já estava ativo no registro," disse o OpenSourceMalware. "Isso sugere que o ator da ameaça tinha infraestrutura de backup preparada e estava pronto para implementar imediatamente mecanismos de entrega alternativos."
  • Uma campanha de ataque codinomeada TaskJacker foi observada depositando arquivos de tarefas maliciosos do VS Code em repositórios existentes de usuários desatentos do GitHub, espalhando-se de forma semelhante a um worm. "Ao weaponizar o recurso de auto-execução de tarefas.json do VS Code, os invasores criaram um cenário onde simplesmente abrir um repositório clonado em seu IDE pode comprometer seu sistema," disse a equipe do OpenSourceMalware. "Nenhuma interação do usuário é necessária além de um git clone e abrir a pasta."
  • O uso de Git hooks (".githooks/pre-commit") pelo Contagious Interview para acionar a execução de código malicioso quando um alvo clona um repositório de "avaliação de código," marcando uma mudança de esconder o código malicioso dentro de arquivos .vscode/tasks.json ou package.json.
  • O uso pelo Contagious Interview de um pacote Packagist comprometido ("roberts/leads") para atacar desenvolvedores PHP com um carregador de malware JavaScript que se conecta à infraestrutura blockchain e RPC pública para buscar, descriptografar e executar um payload JavaScript de próximo estágio. O adversário também aproveitou seu acesso a sistemas de desenvolvedores comprometidos para adulterar commits e injetar código JavaScript ofuscado de múltiplos estágios nos arquivos de código-fonte em seus repositórios. O payload final é uma variante do RAT DEV#POPPER.
  • "As operações do Void Dokkaebi não terminam com um único desenvolvedor infectado," disse a Trend Micro. "A máquina comprometida se torna uma base de lançamento, com o ator da ameaça weaponizando os próprios repositórios da vítima e transformando suas contribuições de código em vetores de infecção para desenvolvedores downstream. O resultado é uma cadeia de propagação autossustentável que se assemelha ao comportamento de um worm em vez de um ataque direcionado tradicional."
  • A migração do InvisibleFerret pelo Contagious Interview de scripts Python legíveis para binários compilados com Cython, distribuindo o malware como arquivos .pyd no Windows e .so no macOS. "A atualização dá ao conjunto de intrusão uma camada adicional de evasão enquanto preserva as capacidades centrais do InvisibleFerret, incluindo acesso backdoor, roubo de credenciais do navegador, monitoramento da área de transferência, keylogging e direcionamento de carteiras de criptomoedas," disse a Trend Micro. "O BeaverTail também expandiu além de seu papel original de downloader e ladrão para um malware mais amplo com funções sobrepostas, incluindo coleta de credenciais e cavalos de Troia para carteiras."
  • Um pacote npm malicioso chamado "terminal-logger-utils" foi encontrado mirando dados do Telegram, chaves SSH, carteiras de criptomoedas, configurações de nuvem e variáveis de ambiente. O pacote foi publicado por "jpeek895," uma conta sinalizada por publicar um pacote semelhante chamado "terminal-logger-pack" no final de abril de 2026. Outro pacote npm chamado "js-logger-pack" foi encontrado entregando um binário ELF com capacidades de infostealer e trojan de acesso remoto (RAT).
  • O direcionamento do BlueNoroff (também chamado de Sapphire Sleet e UNC1069) a ambientes macOS dentro de setores financeiros de alto valor para entregar malware infostealer como parte de uma engenharia social direcionada contra indivíduos no espaço de criptomoedas, investimentos e Web3. Algumas dessas iniciativas também utilizam iscas temáticas de reuniões falsas no Zoom e Microsoft Teams e prompts e instruções estilo ClickFix para instalar supostos SDKs de reunião "faltantes" e entregar payloads maliciosos. Os ataques levaram à implantação de variantes atualizadas do Cabbage RAT (também chamado de CageyChameleon), implantes PowerShell capazes de roubo de credenciais e dados, ou um kit de ferramentas de roubo de dados para macOS recém-identificado conhecido como Mach-O Man.
  • "Ao persuadir os usuários a executar manualmente comandos baseados em AppleScript ou Terminal, o Sapphire Sleet transfere a execução para um contexto iniciado pelo usuário, permitindo que a atividade prossiga fora das proteções do macOS, como Transparency, Consent, and Control (TCC), Gatekeeper, aplicação de quarentena e verificações de notário," disse a Microsoft.
  • O uso pelo Contagious Trader de mais de 50 pacotes maliciosos incorporados em mais de 100 repositórios do GitHub mirando desenvolvedores no espaço de criptomoedas para entregar três famílias de malware: PromptMink, OtterCookie e um novo ladrão de área de transferência do Windows chamado ClipViper. "Os repositórios maliciosos são promovidos através de contas verificadas no X e Reddit, usam identidades de desenvolvedores falsificadas e contagens de estrelas infladas por bots para parecer legítimos, e são distribuídos em mais de 40 usuários e organizações do GitHub como frentes de entrega redundantes," disse a Panther.
  • Um cluster de pacotes npm maliciosos ofuscados publicados por múltiplas contas descartáveis foi encontrado entregando variantes do infostealer OtterCookie por meio de um hook postinstall. Outro pacote npm malicioso chamado "node-env-resolve" foi identificado como fazendo uso de seis dependências de tempo de execução que correspondem ao kit de ferramentas OtterCookie.
  • O uso pelo Contagious Interview de inteligência artificial generativa para auxiliar no desenvolvimento de carregadores responsáveis por lançar BeaverTail e OtterCookie, e para configurar empresas de fachada usadas para listar vagas de emprego e alcance de engenharia social via contas falsas no LinkedIn. De acordo com dados compartilhados pela Expel, essas campanhas provavelmente são realizadas por múltiplas equipes, cada uma composta por vários membros. Os ataques resultaram no roubo de 12 milhões de dólares em criptomoedas nos primeiros três meses de 2026. "As campanhas do ator da ameaça exfiltraram um total de 26.584 carteiras de criptomoedas dos sistemas de 2.726 desenvolvedores infectados," disse Marcus Hutchins, da Expel.
  • Uma campanha de ataque à cadeia de suprimentos codinomeada jsonspack usou 27 pacotes npm maliciosos para entregar um RAT e infostealer JavaScript, ou depositar um carregador que busca um payload não especificado. Outro pacote npm malicioso chamado "sleek-pretty" foi encontrado mirando desenvolvedores que executam bots de negociação do Polymarket para realizar fingerprinting do sistema, instalação de backdoor SSH, exfiltração do sistema de arquivos e roubo direcionado de credenciais da API CLOB do Polymarket.
  • Uma campanha sustentável de malware npm abrangendo 108 pacotes maliciosos e 261 versões de pacotes mirou desenvolvedores entre 20 de março e 20 de abril de 2026, com o objetivo de roubar credenciais, sessões do Telegram Desktop e chaves de carteiras, e estabelecer acesso persistente usando famílias de malware como BeaverTail e OtterCookie.

"Embora o cybercrime financeiramente motivado seja altamente pouco atraente para quase todos os estados-nação, já que a perda monetária das sanções resultantes superaria em muito qualquer ganho financeiro, este não é o caso da Coreia do Norte," disse a Expel. "As sanções pesadas já impostas contra o país significam que há pouco mais que possa ser feito para dissuadi-los, mas muito a ser ganho para uma nação cuja atividade econômica está severamente restrita."

Cibersegurança Coreia do Norte Malware
FONTE

The Hacker News

Conteúdos relacionados

Malicious JetBrains Plugins Steal AI API Keys as Chrome Extensions Capture Chatbot Chats Notícia Virus & Malware Ravie Lakshmanan Plugins maliciosos do JetBrains roubam chaves de API de IA enquanto extensões do Chrome capturam conversas de chatbots Pesquisadores de cibersegurança identificaram uma 'campanha coordenada de malware' no JetBrains Marketplace com pelo m... 17/06/2026 0 0
‘Dangerous’ AI Models Are Coming No Matter What Notícia Inteligência Artificial Lily Hay Newman 'Modelos de IA 'perigosos' estão vindo de qualquer forma Desde que o Mythos foi lançado em abril, a Anthropic afirmou — e alertou — que o modelo possui capacidades avançadas n... 16/06/2026 0 0
Chinese Hackers Abused Google Workspace Rules to Steal Research and Defense Emails Notícia Hackers e Cia Swati Khandelwal Hackers chineses abusaram de regras do Google Workspace para roubar pesquisas e e-mails de defesa Um grupo de espiao ligado a China se escondeu dentro de redes de pesquisa medica, academica e militar da America do No... 16/06/2026 0 0
Notícia Virus & Malware Novo malware Rokarolla para Android rouba PINs, códigos SMS e fundos de carteiras de criptomoedas Pesquisadores de segurança do zLabs, divisão da empresa Zimperium, documentaram um novo trojan b... Swati Khandelwal 16/06/2026 0 0
Notícia Hackers e Cia Fabricante do Ozempic, Novo Nordisk Diz que Hackers Invadiram Sistemas de TI A gigante farmacêutica Novo Nordisk revelou na semana passada um incidente de cibersegurança env... Eduard Kovacs 15/06/2026 0 0
Notícia Hackers e Cia Hackers ligados à China instalaram backdoor em software de login do Linux para se esconder por quase uma década Grupo chinês rastreado como Velvet Ant comprometeu componentes PAM (Módulos de Autenticação Plug... Swati Khandelwal 13/06/2026 0 0