Севернокорејските хакери ги претвораат алатките за програмери во канали за испорака на малициозен софтвер

Истражувачите за сајбер-безбедност идентификуваа две злонамерни сајбер-кампањи кои покажуваат сличности со упорната севернокорејска заканувачка група позната како Contagious Interview (позната и како Famous Chollima, HexagonalRodent и Void Dokkaebi).

Според извештај објавен од Proofpoint, заканувачкиот актер спроведува phishing кампањи користејќи теми поврзани со регрутирање за програмерски позиции или ревизија на програмски код, при што цел се речиси 100 организации од финансискиот сектор, криптовалутите, образованието, технологијата и други индустрии. Активноста е означена со кодното име UNK_DeadDrop.

„Синџирот на инфекција започнува со е-пораки кои содржат линкови до GitHub репозиториуми контролирани од напаѓачите, каде што се хостирани злонамерни скрипти што доведуваат до извршување на крос-платформски малициозен софтвер за macOS, Linux и Windows, вклучувајќи и open-source Go рамка наречена Overlord“, изјавија истражувачите на Proofpoint, Saher Naumaan и Carlos Rubio.

Клучен елемент што ја поврзува кампањата со Пјонгјанг е употребата на Microsoft Visual Studio Code (VS Code) проекти кои ја користат техниката „runOn: folderOpen“ за автоматско извршување на злонамерен код секогаш кога ќе се отвори проектот во уредувачот на код, без потреба од каква било интеракција од корисникот. Овој пристап го користат актерите на Contagious Interview од декември 2025 година.

Активноста документирана од компанијата за корпоративна безбедност вклучувала повеќе од 250 е-пораки испратени во период од шест недели до лица во речиси 100 организации. Над 75% од целните организации се наоѓаат во САД, а потоа следуваат Обединетото Кралство, Австралија, Франција, Бразил, Германија, Индија, Израел, Јапонија и Холандија.

Е-пораките содржат линкови до GitHub репозиториуми кои се претставуваат како технички задачи или проекти поврзани со криптовалути. Од примачите се бара да го клонираат репозиториумот и да го отворат во VS Code или Cursor, што резултира со извршување на малициозни вчитувачи (loaders) специфични за Linux, macOS и Windows. Подоцнежните мамки забележани во мај 2026 година ја менуваат тактиката и бараат од целите да извршат ревизија на нивните open-source проекти.

Вчитувачот – shell скрипта за macOS и Linux и VBScript за Windows – е дизајниран да инсталира злонамерна VS Code екстензија (VSIX) која се претставува како легитимна Google услуга. Истовремено, таа комуницира со надворешен сервер за да овозможи далечинско извршување на команди, извидување на системот и кражба на податоци од екстензии за крипто-паричници во прелистувачи, кориснички акредитиви и десктоп апликации за паричници.

Синџирите на инфекција за Linux и macOS водат до прилагодена верзија на open-source рамката Overlord со можности за кражба на податоци. Дополнително, корисниците се измамуваат да ја внесат својата системска лозинка преку лажен безбедносен прозорец.

Од друга страна, Windows нападот користи VBScript товар (payload) за извршување на CMD датотека која потоа ја инсталира злонамерната екстензија.

Крајната цел останува иста: кражба на акредитиви и податоци од екстензии и апликации за крипто-паричници, а потоа нивно испраќање кон серверот („23.137.105[.]75:5173“) преку HTTP POST барање.

„За разлика од агентот за Linux/macOS, Windows верзијата не одржува постојана врска; таа ги прикачува ZIP датотеките, ги брише трагите и завршува со работа“, наведува Proofpoint.

Понатамошната анализа открила дека актерот претходно дистрибуирал Windows Go бинарна верзија на Overlord, но во меѓувреме преминал на новиот метод, најверојатно со цел да избегне откривање.

Proofpoint го следи UNK_DeadDrop како посебна активност од Contagious Interview поради разликите во методите за почетен пристап (LinkedIn наспроти е-пошта) и употребата на рамката Overlord, која се разликува од сопствените семејства на малициозен софтвер што традиционално ги користи севернокорејската група, како BeaverTail, InvisibleFerret и OtterCookie.

„Активноста на UNK_DeadDrop укажува дека операциите усогласени со Северна Кореја, насочени кон програмери за финансиска корист, стануваат позрели и поразвиени“, соопшти компанијата. „Преминот од активен социјален инженеринг преку социјални мрежи и лажни интервјуа кон масовни phishing кампањи со тематика за вработување, кои дистрибуираат линкови до злонамерни репозиториуми, може да укажува дека актерот ги индустријализира и проширува своите операции.“

Ова откритие доаѓа откако Yeeth Security соопшти дека открила три злонамерни VS Code екстензии со имињата „ByteBinTools.jupyter-powerdev-2026.6.8.vsix“, „ToolCraft.jupyter-powertools-3.21.0.vsix“ и „OLDev.markdown-mode-devtools-2.1.0.vsix“ на официјалниот маркетплејс. Тие се претставуваат како безопасни алатки за продуктивност поврзани со Jupyter Notebook, но во реалноста претставуваат „софистицирана повеќестепена задна врата (backdoor)“ дизајнирана да ги заобиколи безбедносните механизми на крајните уреди.

Малициозниот софтвер ги поддржува следните функции:

• SharePoint страница што служи како редица за команди, регистар на жртви и канал за ексфилтрација на податоци.

• JavaScript слој кој управува со целата комуникација за команда и контрола (C2) преку Microsoft Graph API и SharePoint.

• Компоненти кои овозможуваат произволно читање, запишување и кражба на датотеки, како и извршување на код преку Windows извршна датотека и Python скрипта за Linux и macOS.

Освен извршување команди и скрипти, C2 каналот може да испрати и трет тип команда наречена „host_action“, која овозможува операции врз датотечниот систем како pwd, ls, cd и cat, како и прикачување и преземање датотеки.

Иако не постои директна поврзаност со некоја јавно документирана севернокорејска кампања, Yeeth Security наведува дека поделбата на алатките меѓу JavaScript и Python потсетува на Contagious Interview. Дополнително, механизмот за автентикација преку Microsoft Graph API што го користат злонамерните артефакти покажува одредени сличности со нападите Dream Job на Lazarus Group, кои беа детално опишани од S2 Grupo LAB52 во октомври 2025 година.

Овие наоди се надоврзуваат на откривањето на повеќе кампањи поврзани со севернокорејски заканувачки актери во последните месеци:

• Продолжение на нападот врз синџирот на снабдување Axios, при што биле користени три злонамерни npm пакети (redeem-onchain-sdk@1.0.7, nicegui@0.1.4 и period-newline@0.1.0). Овие пакети испорачуваат малициозен софтвер за кражба на информации кој ги испраќа украдените податоци кон различна C2 инфраструктура. Пакетите биле наведени како зависности во GitHub проекти маскирани како ботови за тргување со криптовалути.

„Помалку од 18 часа по отстранувањето на злонамерните Axios пакети од NPM, првиот секундарен товар веќе беше достапен во регистарот“, соопшти OpenSourceMalware. „Ова укажува дека заканувачкиот актер однапред подготвил резервна инфраструктура и бил подготвен веднаш да активира алтернативни механизми за испорака.“

• Нападна кампања со кодно име TaskJacker била забележана како вметнува злонамерни VS Code task датотеки во постојни GitHub репозиториуми на корисници кои не се свесни за компромитацијата, ширејќи се на начин сличен на компјутерски црв.

„Со злоупотреба на функцијата за автоматско извршување tasks.json во VS Code, напаѓачите создадоа сценарио во кое едноставното отворање на клониран репозиториум во IDE може да го компромитира системот“, соопшти тимот на OpenSourceMalware. „Не е потребна никаква дополнителна интеракција освен git clone и отворање на папката.“

• Contagious Interview користи Git hooks (“.githooks/pre-commit”) за автоматско активирање на злонамерен код кога жртвата ќе клонира репозиториум за „техничка проценка на кодирање“. Ова претставува промена во однос на претходните методи каде злонамерниот код бил скриен во датотеки како .vscode/tasks.json или package.json.

• Contagious Interview користел компромитиран Packagist пакет („roberts/leads“) за таргетирање на PHP програмери преку JavaScript вчитувач на малициозен софтвер. Овој вчитувач комуницира со blockchain и јавна RPC инфраструктура за да преземе, дешифрира и изврши следна фаза од нападот. Напаѓачите исто така ја злоупотребиле својата контрола врз компромитирани системи на програмери за да изменуваат commits и да вметнуваат повеќестепен обфускиран JavaScript код во изворните датотеки на нивните репозиториуми. Крајниот товар е варијанта на DEV#POPPER RAT.

„Операциите на Void Dokkaebi не завршуваат со еден заразен програмер“, соопшти Trend Micro. „Компромитираниот систем станува појдовна точка за нови напади, при што актерот ги претвора репозиториумите на жртвата во вектори за инфекција на други програмери. Резултатот е самостојно одржлив синџир на ширење што повеќе наликува на црв отколку на традиционален насочен напад.“

• Contagious Interview ја префрлил заканата InvisibleFerret од читливи Python скрипти кон бинарни датотеки компајлирани со Cython, дистрибуирајќи го малициозниот софтвер како .pyd датотеки на Windows и .so датотеки на macOS.

„Ова ажурирање додава дополнителен слој на прикривање, а притоа ги задржува основните способности на InvisibleFerret, вклучувајќи backdoor пристап, кражба на лозинки од прелистувачи, следење на clipboard содржини, снимање на притисоци на тастатурата и таргетирање криптовалутни паричници“, соопшти Trend Micro.

„BeaverTail исто така еволуираше од обичен downloader и stealer во поширок малициозен софтвер со преклопувачки функции, вклучувајќи собирање акредитиви и компромитирање на крипто-паричници.“

• Злонамерен npm пакет наречен „terminal-logger-utils“ бил откриен како таргетира Telegram податоци, SSH клучеви, крипто-паричници, cloud конфигурации и environment променливи. Пакетот бил објавен од корисникот „jpeek895“, кој претходно бил означен поради објавување на сличен пакет наречен „terminal-logger-pack“ во април 2026 година.

Друг npm пакет наречен „js-logger-pack“ испорачувал ELF бинарна датотека со можности за кражба на информации и далечински пристап (RAT).

• BlueNoroff (познат и како Sapphire Sleet и UNC1069) ги таргетирал macOS системите во високо-вредни финансиски сектори со цел испорака на инфостилер малициозен софтвер преку насочени кампањи за социјален инженеринг против лица од криптовалутниот, инвестицискиот и Web3 секторот.

Некои од овие напади користеле лажни покани за Zoom и Microsoft Teams состаноци, како и ClickFix-тактики кои ги убедувале жртвите да инсталираат наводно „недостасувачки“ SDK компоненти за состаноци.

Нападите резултирале со инсталирање на ажурирани верзии на Cabbage RAT (познат и како CageyChameleon), PowerShell импланти за кражба на акредитиви и податоци, како и нова алатка за кражба на податоци за macOS наречена Mach-O Man.

„Со убедување на корисниците рачно да извршат AppleScript или Terminal команди, Sapphire Sleet го префрла извршувањето во контекст инициран од корисникот, овозможувајќи активностите да се одвиваат надвор од заштитните механизми на macOS како TCC, Gatekeeper, карантинските проверки и процесите за нотаризација“, соопшти Microsoft.

• Contagious Trader користел повеќе од 50 злонамерни пакети распоредени во над 100 GitHub репозиториуми насочени кон програмери во криптовалутниот сектор за испорака на три семејства малициозен софтвер: PromptMink, OtterCookie и нов крадец на clipboard податоци за Windows наречен ClipViper.

„Злонамерните репозиториуми се промовираат преку верификувани профили на X и Reddit, користат лажни идентитети на програмери и вештачки надуени броеви на ѕвездички за да изгледаат легитимно, а се дистрибуираат преку повеќе од 40 GitHub корисници и организации како резервни канали за испорака“, соопшти Panther.

• Група обфускирани злонамерни npm пакети објавени од повеќе еднократни кориснички сметки била откриена како испорачува варијанти на инфостилерот OtterCookie преку postinstall механизам. Дополнително, npm пакетот „node-env-resolve“ користел шест runtime зависности кои одговараат на OtterCookie алатникот.

• Contagious Interview користел генеративна вештачка интелигенција за развој на вчитувачи (loaders) одговорни за активирање на BeaverTail и OtterCookie, како и за создавање фиктивни компании кои објавуваат огласи за работа и спроведуваат социјален инженеринг преку лажни LinkedIn профили.

Според податоците на Expel, овие кампањи најверојатно ги спроведуваат повеќе тимови составени од неколку членови. Во првите три месеци од 2026 година, нападите довеле до кражба на криптовалути во вредност од 12 милиони долари.

„Кампањите на заканувачкиот актер успеале да ексфилтрираат вкупно 26.584 криптовалутни паричници од 2.726 заразени системи на програмери“, изјави Marcus Hutchins од Expel.

• Supply-chain кампања со кодно име jsonspack користела 27 злонамерни npm пакети за испорака на JavaScript RAT и инфостилер или за преземање дополнителен товар со непозната намена.

Друг злонамерен npm пакет наречен „sleek-pretty“ бил насочен кон програмери кои користат Polymarket трговски ботови со цел системско профилирање, инсталација на SSH backdoor, кражба на датотеки и таргетирана кражба на Polymarket CLOB API акредитиви.

• Континуирана npm малициозна кампања која опфаќала 108 злонамерни пакети и 261 верзија на пакети ги таргетирала програмерите помеѓу 20 март и 20 април 2026 година. Целта била кражба на акредитиви, Telegram Desktop сесии и клучеви за крипто-паричници, како и воспоставување траен пристап преку семејства на малициозен софтвер како BeaverTail и OtterCookie.

„Иако финансиски мотивираниот сајбер-криминал е многу непривлечен за речиси секоја држава бидејќи економските загуби од санкциите би биле многу поголеми од потенцијалната финансиска добивка, тоа не е случај со Северна Кореја“, соопшти Expel.

„Поради веќе постојните строги санкции против земјата, остануваат малку дополнителни мерки за одвраќање, додека потенцијалната финансиска добивка е значителна за држава чија економска активност е сериозно ограничена.“

Извори:

• The Hacker News – North Korean Hackers Are Turning Developer Tools Into Malware Delivery Channels The Hacker News