Die mit Nordkorea verbundene, persistente Kampagne namens **Contagious Interview** hat ihre Reichweite erweitert, indem sie bösartige Pakete für die Go-, Rust- und PHP-Ökosysteme veröffentlicht hat. "Die Pakete des Angreifers waren darauf ausgelegt, legitime Entwicklertools zu imitieren [...], während sie unauffällig als Malware-Loader fungierten und den etablierten Spielplan von Contagious Interview in eine koordinierte, Ökosystem-übergreifende Supply-Chain-Operation erweiterten", sagte der Sicherheitsforscher Kirill Boychenko von **Socket** in einem Bericht vom Dienstag. ### Identifizierte bösartige Pakete Die vollständige Liste der identifizierten Pakete lautet wie folgt: * npm: dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt, debug-glitz * PyPI: logutilkit, apachelicense, fluxhttp, license-utils-kit * Go: github[.]com/golangorg/formstash, github[.]com/aokisasakidev/mit-license-pkg * Rust: logtrace * Packagist: golangorg/logkit Diese Loader sind darauf ausgelegt, plattformspezifische Second-Stage-Payloads abzurufen, bei denen es sich um Malware mit Infostealer- und Remote-Access-Trojaner (RAT)-Funktionen handelt. Die Malware konzentriert sich hauptsächlich auf das Sammeln von Daten aus Webbrowsern, Passwortmanagern und Kryptowährungs-Wallets. ### Erweiterte Post-Compromise-Fähigkeiten Bemerkenswerterweise enthält die Windows-Version der über "license-utils-kit" verbreiteten Malware, was **Socket** als "vollständiges Post-Compromise-Implantat" beschreibt. Dieses Implantat kann Shell-Befehle ausführen, Tastenanschläge protokollieren, Browserdaten stehlen, Dateien hochladen, Webbrowser beenden, **AnyDesk** für den Fernzugriff einsetzen, ein verschlüsseltes Archiv erstellen und zusätzliche Module herunterladen. "Das macht diesen Cluster nicht nur wegen seiner Ökosystem-übergreifenden Reichweite bemerkenswert, sondern auch wegen der Tiefe der Post-Compromise-Funktionalität, die in mindestens einem Teil der Kampagne eingebettet ist", fügte Boychenko hinzu. ### Versteckter bösartiger Code Ein wichtiger Aspekt dieser Bibliotheken ist, dass der bösartige Code nicht bei der Installation ausgelöst wird. Stattdessen ist er in scheinbar legitime Funktionen eingebettet, die dem beworbenen Zweck des Pakets entsprechen. Im Fall von "logtrace" ist der Code beispielsweise in "Logger::trace(i32)" verborgen, einer Methode, die wahrscheinlich keinen Verdacht erregt. Die Ausweitung von Contagious Interview auf fünf Open-Source-Ökosysteme deutet auf eine gut ausgestattete und persistente Supply-Chain-Bedrohung hin. Die Kampagne zielt darauf ab, diese Plattformen systematisch als initiale Zugangspunkte zu infiltrieren, um Entwicklerumgebungen für Spionage und finanzielle Vorteile zu kompromittieren. Insgesamt hat **Socket** seit Anfang Januar 2025 über 1.700 bösartige Pakete identifiziert, die mit dieser Aktivität in Verbindung stehen. ### Breitere Kampagne und Zuschreibung Die Entdeckung ist Teil einer breiteren Kampagne zur Kompromittierung der Software-Lieferkette, die von nordkoreanischen Hacking-Gruppen durchgeführt wird. Dazu gehört auch die Vergiftung des beliebten Axios npm-Pakets, um ein Implantat namens WAVESHAPER.V2 zu verbreiten, nachdem das npm-Konto des Paket-Maintainers über eine maßgeschneiderte Social-Engineering-Kampagne übernommen wurde. Der Angriff wurde einem finanziell motivierten Angreifer namens UNC1069 zugeschrieben, der mit **BlueNoroff**, **Sapphire Sleet** und **Stardust Chollima** überschneidet. **Security Alliance (SEAL)** gab in einem heute veröffentlichten Bericht an, dass sie zwischen dem 6. Februar und dem 7. April 2026 164 UNC1069-bezogene Domains blockiert haben, die Dienste wie **Microsoft Teams** und **Zoom** nachahmten. "UNC1069 führt mehrwöchige Social-Engineering-Kampagnen mit geringem Druck über **Telegram**, **LinkedIn** und **Slack** durch – entweder durch Nachahmung bekannter Kontakte oder glaubwürdiger Marken oder durch Nutzung des Zugangs zu zuvor kompromittierten Unternehmens- und Einzelkonten –, bevor ein betrügerischer **Zoom**- oder **Microsoft Teams**-Meeting-Link bereitgestellt wird", sagte **SEAL**. Diese gefälschten Meeting-Links werden verwendet, um ClickFix-ähnliche Köder zu servieren, was zur Ausführung von Malware führt, die einen vom Angreifer kontrollierten Server für Datendiebstahl und gezielte Post-Exploitation-Aktivitäten unter Windows, macOS und Linux kontaktiert. "Die Betreiber handeln nach dem ersten Zugriff bewusst nicht sofort. Das Implantat bleibt nach der Kompromittierung eine Zeit lang ruhend oder passiv", fügte **SEAL** hinzu. "Das Ziel plant den fehlgeschlagenen Anruf typischerweise neu und setzt den normalen Betrieb fort, ohne zu wissen, dass das Gerät kompromittiert ist. Diese Geduld verlängert das operative Fenster und maximiert den Wert, der extrahiert wird, bevor eine Reaktion auf den Vorfall ausgelöst wird." ### Microsofts Erklärung In einer Erklärung, die The Hacker News mitgeteilt wurde, sagte **Microsoft**, dass finanziell motivierte nordkoreanische Angreifer aktiv ihre Werkzeuge und Infrastruktur weiterentwickeln und Domains verwenden, die sich als US-amerikanische Finanzinstitute und Videokonferenzanwendungen ausgeben, um Social Engineering zu betreiben. "Was wir konsequent sehen, ist eine ständige Weiterentwicklung der Funktionsweise von DPRK-bezogenen, finanziell motivierten Akteuren, Verschiebungen bei Werkzeugen, Infrastruktur und Zielen, aber mit klarer Kontinuität im Verhalten und in der Absicht", sagte Sherrod DeGrippo, General Manager für Threat Intelligence bei **Microsoft**.