Группа из КНДР, известная по операции Contagious Interview, выпустила ещё 67 опасных npm-пакетов. Это подтверждает: атака на open-source через цепочку поставок только набирает обороты.
По данным компании Socket, эти вредоносы скачали уже больше 17 000 раз — внутри них обнаружили усовершенствованный загрузчик XORIndex. Это продолжение прошлой атаки, когда распространяли 35 npm-пакетов с другим загрузчиком — HexEval.
XORIndex
«Contagious Interview ведёт настоящую игру в “кошки-мышки”. Мы только успеваем находить и блокировать вредоносные пакеты, как злоумышленники тут же публикуют новые — с похожим или слегка изменённым кодом», — комментирует исследователь Socket Кирилл Бойченко.
Contagious Interview — так эксперты окрестили долгосрочную кампанию, в которой атакующие выдают вредоносный open-source проект за тестовое задание якобы на собеседовании. О такой схеме впервые рассказали в конце 2023 года. Эту группировку также знают как DeceptiveDevelopment, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342 и Void Dokkaebi.
Главная цель атак — дополнить сеть КНДР по найму IT-специалистов на удалёнку. Но если раньше злоумышленники пытались устраиваться в западные компании, теперь они бьют прицельно по уже работающим разработчикам из интересующих их компаний.
Схема проста: вредоносные пакеты попадают в проекты и запускают известный JavaScript-загрузчик и вирус BeaverTail. Он крадёт данные из браузеров и криптовалютных кошельков, а заодно устанавливает на систему бэкдор на Python под названием InvisibleFerret.
«Теперь обе кампании работают параллельно: только за июнь-июль 2025 года пакеты с XORIndex скачали более 9 000 раз, а HexEval — ещё свыше 8 000 раз», — отмечает Бойченко.
Загрузчик XORIndex, как и HexEval, собирает информацию о заражённом компьютере, определяет внешний IP-адрес через управляющий сервер и отправляет эти данные злоумышленникам. После этого активируется вирус BeaverTail.
Изучение свежих пакетов показывает: вредоносы быстро эволюционируют. Если первые версии были простыми и почти не защищёнными, то новые уже умеют собирать системную информацию и стали куда более скрытными.
«Злоумышленники из Contagious Interview всё время совершенствуют методы: заводят новые аккаунты разработчиков на npm, выпускают разные варианты загрузчиков — HexEval, XORIndex — и распространяют вирусы BeaverTail и InvisibleFerret, делая свои атаки всё хитрее и незаметнее», — резюмирует Бойченко.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru