Северокорейская кампания маскируется под собеседования и заражает компьютеры разработчиков через npm

Разработчики по всему миру снова оказались в прицеле северокорейских хакеров: в рамках новой волны кампании «Contagious Interview» злоумышленники распространили 35 вредоносных npm-пакетов, заражающих устройства жертв шпионским ПО. Как сообщает BleepingComputer, атаки направлены на программистов, ищущих удалённую работу, и маскируются под предложения поучаствовать в тестовых заданиях от «рекрутеров».

Хакеры, выдавая себя за представителей крупных IT-компаний на LinkedIn, предлагают кандидатам выполнить якобы проверочные задания, размещенные на Bitbucket и оформленные как легитимные проекты. Внутри этих проектов — npm-пакеты с вредоносным кодом, который активируется сразу после запуска. Кандидатов часто просят запускать код вне контейнеров и даже делиться экраном во время выполнения.

В цепочке заражения используется несколько компонентов: сначала HexEval Loader, который собирает информацию о системе и скачивает следующую стадию — BeaverTail. Этот инфостилер крадёт данные браузеров, куки, криптокошельки и загружает третий компонент — бэкдор InvisibleFerret. Последний обеспечивает удаленный доступ к системе, похищение файлов и даже создание скриншотов. На некоторых целях также устанавливается кейлоггер, отслеживающий ввод с клавиатуры в реальном времени.

Socket Threat Research отмечает, что зловредные пакеты имитируют популярные библиотеки — такие как react-plaid-sdk, vite-plugin-next-refresh, chalk-config, struct-logger, — и уже были загружены более 4 000 раз. Несмотря на это, некоторые из них до сих пор доступны для скачивания. Эксперты советуют не запускать сомнительный код напрямую, особенно если он пришёл «от рекрутера»: безопаснее использовать контейнеры или виртуальные машины.