A campanha persistente ligada à Coreia do Norte, conhecida como **Contagious Interview**, expandiu seu alcance ao publicar pacotes maliciosos visando os ecossistemas Go, Rust e PHP. "Os pacotes do ator de ameaças foram projetados para se passar por ferramentas legítimas de desenvolvedor [...], enquanto funcionavam silenciosamente como carregadores de malware, estendendo o playbook estabelecido do Contagious Interview para uma operação coordenada de cadeia de suprimentos entre ecossistemas", disse o pesquisador de segurança da **Socket**, Kirill Boychenko, em um relatório de terça-feira. ### Pacotes Maliciosos Identificados A lista completa de pacotes identificados é a seguinte: * npm: dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt, debug-glitz * PyPI: logutilkit, apachelicense, fluxhttp, license-utils-kit * Go: github[.]com/golangorg/formstash, github[.]com/aokisasakidev/mit-license-pkg * Rust: logtrace * Packagist: golangorg/logkit Esses carregadores são projetados para buscar payloads de segundo estágio específicos da plataforma, que são malware com capacidades de infostealer e trojan de acesso remoto (RAT). O malware se concentra principalmente na coleta de dados de navegadores web, gerenciadores de senhas e carteiras de criptomoedas. ### Capacidades Avançadas Pós-Comprometimento Notavelmente, a versão para Windows do malware entregue via "license-utils-kit" incorpora o que a **Socket** descreve como um "implant completo pós-comprometimento". Este implant pode executar comandos shell, registrar pressionamentos de teclas, roubar dados do navegador, fazer upload de arquivos, encerrar navegadores web, implantar **AnyDesk** para acesso remoto, criar um arquivo criptografado e baixar módulos adicionais. "Isso torna este cluster notável não apenas por seu alcance entre ecossistemas, mas pela profundidade da funcionalidade pós-comprometimento incorporada em pelo menos parte da campanha", acrescentou Boychenko. ### Código Malicioso Oculto Um aspecto chave dessas bibliotecas é que o código malicioso não é acionado durante a instalação. Em vez disso, ele é incorporado em funções aparentemente legítimas que se alinham com o propósito anunciado do pacote. Por exemplo, no caso de "logtrace", o código é ocultado dentro de "Logger::trace(i32)", um método improvável de levantar suspeitas. A expansão do Contagious Interview em cinco ecossistemas de código aberto indica uma ameaça de cadeia de suprimentos bem-resourced e persistente. A campanha visa infiltrar sistematicamente essas plataformas como caminhos de acesso inicial para violar ambientes de desenvolvedores para espionagem e ganho financeiro. No total, a **Socket** identificou mais de 1.700 pacotes maliciosos ligados à atividade desde o início de janeiro de 2025. ### Campanha Mais Ampla e Atribuição A descoberta faz parte de uma campanha mais ampla de comprometimento da cadeia de suprimentos de software realizada por grupos de hacking norte-coreanos. Isso inclui o envenenamento do popular pacote Axios npm para distribuir um implant chamado WAVESHAPER.V2 após assumir o controle da conta npm do mantenedor do pacote via uma campanha de engenharia social direcionada. O ataque foi atribuído a um ator de ameaças financeiramente motivado conhecido como UNC1069, que se sobrepõe a **BlueNoroff**, **Sapphire Sleet** e **Stardust Chollima**. A **Security Alliance (SEAL)**, em um relatório publicado hoje, disse que bloqueou 164 domínios ligados ao UNC1069 se passando por serviços como **Microsoft Teams** e **Zoom** entre 6 de fevereiro e 7 de abril de 2026. "O UNC1069 opera campanhas de engenharia social de baixa pressão e duração de várias semanas através do **Telegram**, **LinkedIn** e **Slack** – seja se passando por contatos conhecidos ou marcas credíveis, ou alavancando o acesso a contas de empresas e indivíduos previamente comprometidas – antes de entregar um link fraudulento de reunião do **Zoom** ou **Microsoft Teams**", disse a **SEAL**. Esses links de reunião falsos são usados para servir iscas semelhantes ao ClickFix, resultando na execução de malware que contata um servidor controlado pelo atacante para roubo de dados e atividades de pós-exploração direcionadas em Windows, macOS e Linux. "Os operadores deliberadamente não agem imediatamente após o acesso inicial. O implant permanece inativo ou passivo por um período após o comprometimento", acrescentou a **SEAL**. "O alvo normalmente reagenda a chamada falhada e continua as operações normais, sem saber que o dispositivo está comprometido. Essa paciência estende a janela operacional e maximiza o valor extraído antes que qualquer resposta a incidentes seja acionada." ### Declaração da Microsoft Em uma declaração compartilhada com The Hacker News, a **Microsoft** disse que atores de ameaças norte-coreanos financeiramente motivados estão evoluindo ativamente seu conjunto de ferramentas e infraestrutura, usando domínios que se disfarçam de instituições financeiras baseadas nos EUA e aplicativos de videoconferência para engenharia social. "O que estamos vendo consistentemente é uma evolução contínua em como os atores motivados financeiramente ligados à RPDC operam, mudanças em ferramentas, infraestrutura e direcionamento, mas com clara continuidade em comportamento e intenção", disse Sherrod DeGrippo, gerente geral de inteligência de ameaças da **Microsoft**.