La campaña persistente vinculada a Corea del Norte, conocida como **Contagious Interview**, ha ampliado su alcance publicando paquetes maliciosos dirigidos a los ecosistemas Go, Rust y PHP. "Los paquetes del actor de amenazas fueron diseñados para imitar herramientas legítimas para desarrolladores [...], mientras funcionaban silenciosamente como cargadores de malware, extendiendo el repertorio establecido de Contagious Interview a una operación coordinada de cadena de suministro entre ecosistemas", dijo el investigador de seguridad de **Socket**, Kirill Boychenko, en un informe del martes. ### Paquetes Maliciosos Identificados La lista completa de paquetes identificados es la siguiente: * npm: dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt, debug-glitz * PyPI: logutilkit, apachelicense, fluxhttp, license-utils-kit * Go: github[.]com/golangorg/formstash, github[.]com/aokisasakidev/mit-license-pkg * Rust: logtrace * Packagist: golangorg/logkit Estos cargadores están diseñados para descargar payloads de segunda etapa específicos de la plataforma, que son malware con capacidades de infostealer y troyano de acceso remoto (RAT). El malware se enfoca principalmente en recopilar datos de navegadores web, gestores de contraseñas y billeteras de criptomonedas. ### Capacidades Avanzadas Post-Compromiso Notablemente, la versión para Windows del malware entregado a través de "license-utils-kit" incorpora lo que **Socket** describe como un "implant completo post-compromiso". Este implant puede ejecutar comandos de shell, registrar pulsaciones de teclas, robar datos del navegador, subir archivos, terminar navegadores web, desplegar **AnyDesk** para acceso remoto, crear un archivo cifrado y descargar módulos adicionales. "Eso hace que este clúster sea notable no solo por su alcance entre ecosistemas, sino por la profundidad de la funcionalidad post-compromiso incrustada en al menos una parte de la campaña", agregó Boychenko. ### Código Malicioso Oculto Un aspecto clave de estas bibliotecas es que el código malicioso no se activa durante la instalación. En cambio, está incrustado en funciones aparentemente legítimas que se alinean con el propósito anunciado del paquete. Por ejemplo, en el caso de "logtrace", el código está oculto dentro de "Logger::trace(i32)", un método poco probable que genere sospechas. La expansión de Contagious Interview a través de cinco ecosistemas de código abierto indica una amenaza de cadena de suministro persistente y bien financiada. La campaña tiene como objetivo infiltrarse sistemáticamente en estas plataformas como vías de acceso inicial para violar entornos de desarrolladores con fines de espionaje y ganancias financieras. En total, **Socket** ha identificado más de 1.700 paquetes maliciosos vinculados a la actividad desde principios de enero de 2025. ### Campaña Más Amplia y Atribución El descubrimiento es parte de una campaña más amplia de compromiso de la cadena de suministro de software llevada a cabo por grupos de hackers norcoreanos. Esto incluye el envenenamiento del popular paquete npm Axios para distribuir un implant llamado WAVESHAPER.V2 después de tomar el control de la cuenta npm del mantenedor del paquete a través de una campaña de ingeniería social personalizada. El ataque ha sido atribuido a un actor de amenazas motivado financieramente conocido como UNC1069, que se superpone con **BlueNoroff**, **Sapphire Sleet** y **Stardust Chollima**. **Security Alliance (SEAL)**, en un informe publicado hoy, dijo que bloqueó 164 dominios vinculados a UNC1069 que se hacían pasar por servicios como **Microsoft Teams** y **Zoom** entre el 6 de febrero y el 7 de abril de 2026. "UNC1069 opera campañas de ingeniería social de baja presión y varias semanas a través de **Telegram**, **LinkedIn** y **Slack** – ya sea suplantando contactos conocidos o marcas creíbles, o aprovechando el acceso a cuentas de empresas e individuos previamente comprometidas – antes de entregar un enlace fraudulento a una reunión de **Zoom** o **Microsoft Teams**", dijo **SEAL**. Estos enlaces de reuniones falsos se utilizan para servir señuelos tipo ClickFix, lo que resulta en la ejecución de malware que contacta a un servidor controlado por el atacante para el robo de datos y actividades de post-explotación dirigidas en Windows, macOS y Linux. "Los operadores deliberadamente no actúan inmediatamente después del acceso inicial. El implant se deja inactivo o pasivo durante un período posterior al compromiso", agregó **SEAL**. "El objetivo normalmente reprograma la llamada fallida y continúa las operaciones normales, sin darse cuenta de que el dispositivo está comprometido. Esta paciencia extiende la ventana operativa y maximiza el valor extraído antes de que se active cualquier respuesta a incidentes". ### Declaración de Microsoft En una declaración compartida con The Hacker News, **Microsoft** dijo que los actores de amenazas norcoreanos con motivaciones financieras están evolucionando activamente su conjunto de herramientas e infraestructura, utilizando dominios que se hacen pasar por instituciones financieras y aplicaciones de videoconferencia con sede en EE. UU. para ingeniería social. "Lo que vemos consistentemente es una evolución continua en cómo operan los actores vinculados a la RPDC y motivados financieramente, cambios en las herramientas, infraestructura y objetivos, pero con una clara continuidad en el comportamiento y la intención", dijo Sherrod DeGrippo, gerente general de inteligencia de amenazas en **Microsoft**.