La persistente campaña vinculada a Corea del Norte, conocida como Contagious Interview, ha ampliado su alcance mediante la publicación de paquetes maliciosos dirigidos a los ecosistemas Go, Rust y PHP. Según un informe del investigador de seguridad de Socket, Kirill Boychenko, los paquetes del actor de amenazas fueron diseñados para suplantar herramientas legítimas de desarrollo, mientras funcionan en silencio como cargadores de malware, extendiendo el manual de Contagious Interview a una operación coordinada de cadena de suministro en múltiples ecosistemas.
Paquetes identificados
- npm: dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt, debug-glitz
- PyPI: logutilkit, apachelicense, fluxhttp, license-utils-kit
- Go: github[.]com/golangorg/formstash, github[.]com/aokisasakidev/mit-license-pkg
- Rust: logtrace
- Packagist: golangorg/logkit
Estos cargadores están diseñados para obtener cargas útiles de segunda etapa específicas de la plataforma, que resultan ser malware con capacidades de robo de información y troyano de acceso remoto (RAT). Se centra principalmente en recopilar datos de navegadores web, gestores de contraseñas y carteras de criptomonedas.
Sin embargo, una versión de Windows del malware distribuida a través de 'license-utils-kit' incorpora lo que Socket describe como un 'implante posterior a la compromisión' completo, capaz de ejecutar comandos de shell, registrar pulsaciones de teclas, robar datos del navegador, subir archivos, cerrar navegadores web, implementar AnyDesk para acceso remoto, crear un archivo cifrado y descargar módulos adicionales. Boychenko señaló que este grupo destaca no solo por su alcance entre ecosistemas, sino también por la profundidad de la funcionalidad posterior a la compromisión integrada en al menos parte de la campaña.
Lo que hace notable al último conjunto de bibliotecas es que el código malicioso no se activa durante la instalación, sino que está incrustado en funciones aparentemente legítimas que coinciden con el propósito anunciado del paquete. Por ejemplo, en el caso de 'logtrace', el código se oculta dentro de 'Logger::trace(i32)', un método que difícilmente despertaría sospechas en un desarrollador.
La expansión de Contagious Interview en cinco ecosistemas de código abierto es una señal más de que la campaña es una amenaza bien financiada y persistente para la cadena de suministro, diseñada para infiltrarse sistemáticamente en estas plataformas como vías de acceso inicial para violar entornos de desarrolladores con fines de espionaje y beneficio económico. En total, Socket ha identificado más de 1700 paquetes maliciosos vinculados a esta actividad desde principios de enero de 2025.
El descubrimiento es parte de una campaña más amplia de compromiso de la cadena de suministro de software llevada a cabo por grupos de hackers norcoreanos. Esto incluye el envenenamiento del popular paquete Axios de npm para distribuir un implante llamado WAVESHAPER.V2, después de tomar el control de la cuenta npm del mantenedor del paquete mediante una campaña de ingeniería social personalizada.
El ataque ha sido atribuido a un actor de amenazas con motivaciones financieras conocido como UNC1069, que coincide con BlueNoroff, Sapphire Sleet y Stardust Chollima. Security Alliance (SEAL), en un informe publicado hoy, dijo que bloqueó 164 dominios vinculados a UNC1069 que suplantaban servicios como Microsoft Teams y Zoom entre el 6 de febrero y el 7 de abril de 2026.
UNC1069 lleva a cabo campañas de ingeniería social de baja presión durante varias semanas a través de Telegram, LinkedIn y Slack, ya sea suplantando contactos conocidos o marcas creíbles, o aprovechando el acceso a cuentas previamente comprometidas de empresas e individuos, antes de entregar un enlace falso de reunión de Zoom o Microsoft Teams. Estos enlaces falsos se utilizan para servir señuelos tipo ClickFix, lo que resulta en la ejecución de malware que contacta a un servidor controlado por el atacante para robar datos y realizar actividades posteriores a la explotación en Windows, macOS y Linux.
SEAL añadió que los operadores deliberadamente no actúan inmediatamente después del acceso inicial. El implante se deja inactivo o pasivo durante un período después del compromiso. La víctima generalmente reprograma la llamada fallida y continúa con sus operaciones normales, sin saber que el dispositivo está comprometido. Esta paciencia extiende la ventana operativa y maximiza el valor extraído antes de que se active cualquier respuesta a incidentes.
En una declaración compartida con The Hacker News, Microsoft dijo que los actores de amenazas norcoreanos con motivaciones financieras están evolucionando activamente su conjunto de herramientas e infraestructura, utilizando dominios que se hacen pasar por instituciones financieras estadounidenses y aplicaciones de videoconferencia para ingeniería social. Sherrod DeGrippo, gerente general de inteligencia de amenazas de Microsoft, señaló que lo que se observa consistentemente es una evolución continua en cómo operan los actores vinculados a Corea del Norte con motivaciones financieras, con cambios en herramientas, infraestructura y objetivos, pero con una clara continuidad en el comportamiento y la intención.
