Los actores de amenazas norcoreanos detrás de la campaña “Entrevista contagiosa” han vuelto a optimizar sus tácticas aprovechando los servicios de almacenamiento JSON para entregar cargas útiles maliciosas.
“Los actores de amenazas han recurrido recientemente al uso de servicios de almacenamiento JSON como JSON Keeper, JSONsilo y npoint.io para alojar y distribuir malware de proyectos de código troyanizado, con el atractivo”, dijeron los investigadores de NVISO Bart Parys, Stef Collart y Efstratios Lontzetidis en un informe el jueves.
La campaña consiste esencialmente en dirigirse a audiencias potenciales en sitios de redes profesionales como LinkedIn, ya sea con el pretexto de realizar una evaluación laboral o colaborar en un proyecto. Se les indica que descarguen un proyecto de demostración alojado en plataformas como GitHub, GitLab o Bitbucket.
En uno de esos proyectos descubierto por NVISO, se descubrió que un archivo llamado server/config/.config.env contenía un valor codificado en Base64 disfrazado de clave API, pero en realidad es una URL de un servicio de almacenamiento JSON como JSON Keeper, donde la carga útil de la siguiente etapa se almacena en un formato ofuscado.
La carga útil es un malware de JavaScript llamado BeaverTail, que es capaz de recopilar datos confidenciales y abrir una puerta trasera de Python llamada InvisibleFerret. Si bien la funcionalidad de la puerta trasera se ha mantenido prácticamente sin cambios desde que Palo Alto Networks la documentó por primera vez a fines de 2023, un cambio notable es la capacidad de extraer una carga útil adicional llamada TsunamiKit de Pastebin.
Vale la pena señalar que ESET destacó el uso de TsunamiKit como parte de la campaña “Entrevista contagiosa” en septiembre de 2025, y los ataques también fueron víctimas de Tropidoor y AkdoorTea. El kit de herramientas es capaz de crear huellas digitales del sistema, recopilar datos y recuperar otras cargas útiles de una dirección .onion codificada que actualmente está fuera de línea.
“Está claro que los actores detrás de Contagious Interview no se están quedando atrás y están tratando de lanzar una red muy amplia para comprometer a cualquier desarrollador (de software) que puedan considerar interesante, lo que resulta en la filtración de datos confidenciales e información de billeteras criptográficas”, concluyeron los investigadores.
“El uso de sitios web legítimos como JSON Keeper, JSON Silo y npoint.io, así como repositorios de código como GitLab y GitHub, subraya la motivación del actor y sus continuos intentos de operar sigilosamente y mezclarse con el tráfico normal”.
About The Author
