Pesquisadores identificaram uma campanha persistente ligada à Coreia do Norte que publicou mais de 1.700 pacotes maliciosos em diversos repositórios de código aberto.
O grupo, conhecido como Contagious Interview, usou bibliotecas que parecem ferramentas legítimas para desenvolvedores, mas que, na prática, funcionam como carregadores de malware.
Entre os pacotes identificados estão, no npm: dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt e debug-glitz.
No PyPI foram detectados logutilkit, apachelicense, fluxhttp e license-utils-kit.
No ecossistema Go há github.com/golangorg/formstash e github.com/aokisasakidev/mit-license-pkg.
No Rust foi apontado o pacote logtrace.
No Packagist apareceu golangorg/logkit.
Esses carregadores buscavam payloads secundários específicos para cada plataforma, que se revelaram como malware com capacidades de infostealer e de trojan de acesso remoto.
O foco principal desse malware é coletar dados de navegadores, gerenciadores de senhas e carteiras de criptomoedas.
Uma variante para Windows, entregue via “license-utils-kit”, contém o que os pesquisadores descrevem como um “implante pós-comprometimento completo”.
Essa versão é capaz de executar comandos no shell, registrar teclas, roubar dados de navegadores, enviar arquivos, encerrar processos de navegadores, instalar AnyDesk para acesso remoto, criar um arquivo criptografado e baixar módulos adicionais.
O pesquisador Kirill Boychenko, da Socket Security, ressaltou essa combinação de alcance multi-ecossistema com funcionalidades profundas em parte da campanha.
“That makes this cluster notable not just for its cross-ecosystem reach, but for the depth of post-compromise functionality embedded in at least part of the campaign.”
Um aspecto importante é que o código malicioso não dispara na instalação.
Em vez disso, ele fica embutido em funções que parecem cumprir o propósito anunciado do pacote, tornando a detecção menos óbvia.
Como exemplo, no caso do “logtrace” o código malicioso foi escondido dentro do método “Logger::trace(i32)”, uma rotina pouco suspeita para desenvolvedores.
A propagação da campanha por cinco ecossistemas de código aberto indica que se trata de uma ameaça à cadeia de suprimentos bem financiada e persistente, projetada para obter acesso inicial a ambientes de desenvolvimento para espionagem e lucro financeiro.
Além dessa descoberta, a operação faz parte de um conjunto maior de compromissos na cadeia de software atribuídos a grupos norte-coreanos, incluindo o envenenamento do popular pacote Axios no npm para distribuir um implante chamado WAVESHAPER.V2.
Esse ataque ao Axios envolveu a tomada da conta do mantenedor no npm por meio de uma campanha de engenharia social dirigida.
As atividades foram atribuídas a um ator financeiro conhecido como UNC1069, que possui sobreposição com grupos como BlueNoroff, Sapphire Sleet e Stardust Chollima.
A Security Alliance (SEAL) reportou o bloqueio de 164 domínios ligados ao UNC1069 que imitavam serviços como Microsoft Teams e Zoom entre 6 de fevereiro e 7 de abril de 2026.
A SEAL descreveu a tática de engenharia social usada por esses operadores como de baixa pressão e de várias semanas, envolvendo Telegram, LinkedIn e Slack para, em seguida, entregar links de reuniões falsos.
“UNC1069 operates multi-week, low-pressure social engineering campaigns across Telegram, LinkedIn, and Slack – either impersonating known contacts or credible brands or by leveraging access to previously compromised company and individual accounts – before delivering a fraudulent Zoom or Microsoft Teams meeting link.”
A exploração desses links leva a iscas que fazem com que o alvo execute malware que contata servidores controlados pelos atacantes para roubo de dados e pós-exploração direcionada em Windows, macOS e Linux.
“Operators deliberately do not act immediately following initial access. The implant is left dormant or passive for a period following compromise.”
Segundo a SEAL, essa paciência dos operadores maximiza a janela operacional e aumenta o valor extraído antes que qualquer resposta a incidentes seja acionada.
Em comentário sobre a campanha, a Microsoft observou que atores norte-coreanos com motivação financeira continuam evoluindo suas ferramentas e infraestrutura, usando domínios que imitam instituições financeiras e aplicações de videoconferência para engenharia social.
“What we are seeing consistently is ongoing evolution in how DPRK-linked, financially motivated actors operate, shifts in tooling, infrastructure, and targeting, but with clear continuity in behavior and intent.”
Os relatórios mostram que a combinação de comprometimento de repositórios de código aberto e campanhas de engenharia social forma um vetor de ataque sofisticado e persistente.
As descobertas reforçam a necessidade de atenção ao software que entra na cadeia de desenvolvimento e ao comportamento cauteloso diante de links e convites de reunião inesperados.
