De Noord-Koreaanse dreigingsactoren die verband houden met de besmettelijke interviewcampagne zijn waargenomen, het publiceren van een andere set van 67 kwaadaardige pakketten naar het NPM-register, wat voortdurende pogingen onderstreept om het open-source ecosysteem te vergiftigen via software-supply chain-aanvallen.
De pakketten, per aansluiting, hebben meer dan 17.000 downloads aangetrokken en hebben een eerder zonder papieren versie van een malware -lader gecodeerd XorIndex. De activiteit is een uitbreiding van een aanvalsgolf die vorige maand werd gespot waarbij de distributie van 35 npm -pakketten betrokken was die een andere loader heeft ingezet als hexeval.
“De besmettelijke interviewoperatie blijft een whack-a-mol dynamiek volgen, waarbij verdedigers kwaadaardige pakketten detecteren en rapporteren, en Noord-Koreaanse dreigingsacteurs snel reageren door nieuwe varianten te uploaden met dezelfde, vergelijkbare of enigszins ontwikkelde speelboeken,” zei Socket-onderzoeker Kirill Boychenko.
Bezetting interview is de naam die is toegewezen aan een langlopende campagne die ontwikkelaars wil verleiden om een open-source project te downloaden en uit te voeren als onderdeel van een vermeende coderingstoewijzing. Eerste openbaar bekendgemaakt eind 2023, wordt het dreigingscluster ook gevolgd als bedrieglijke ontwikkeling, beroemde Chollima, Gwisin -bende, vasthoudende pungsan, UNC5342 en leegte Dokkaebi.
Aangenomen wordt dat de activiteit complementair is aan Pyongyang’s beruchte externe informatietechnologie (IT) werknemersschema, waarbij de strategie wordt aangenomen om zich te richten op ontwikkelaars die al in werking zijn geweest in interesse in plaats van een baan aan te vragen.
De aanvalsketens met kwaadaardige NPM -pakketten zijn vrij eenvoudig omdat ze dienen als een kanaal voor een bekende JavaScript -lader en Stealer genaamd Beavertail, die vervolgens wordt gebruikt om gegevens te extraheren van webbrowsers en cryptocurrency -portefeuilles, en een Python -achterdoor worden verwezen als InvisibleRet.
“De twee campagnes werken nu parallel. XorIndex heeft meer dan 9.000 downloads verzameld in een kort venster (juni tot juli 2025), terwijl Hexeval in een gestaag tempo doorgaat, met meer dan 8.000 extra downloads in de nieuw ontdekte pakketten,” zei Boychenko.
De XorIndex-lader, zoals hexeval, profileert de gecompromitteerde machine en maakt gebruik van eindpunten geassocieerd met hard gecodeerde command-and-control (C2) -infrastructuur om het externe IP-adres van de host te verkrijgen. De verzamelde informatie wordt vervolgens op een externe server bewij, waarna Beavertail wordt gelanceerd.
Verdere analyse van deze pakketten heeft een gestage evolutie van de lader ontdekt en gaat van een kaal-botten prototype naar een verfijnde, heimelijke malware. Vroege iteraties blijken te ontbreken in obfuscatie en verkenningsmogelijkheden, terwijl hun kernfunctionaliteit intact blijft, met versies van de tweede en derde generatie die het rudimentaire systeemverkenningsmogelijkheden introduceren.
“Bezettelijke acteurs van interviewdreigingen zullen hun malwareportfolio blijven diversifiëren, draaien door nieuwe NPM -onderhoudsaliassen, het hergebruiken van laders zoals hexeval -lader- en malwarefamilies zoals Beavertail en Invisibereferret, en actief inzetten van nieuw geobserveerde varianten, waaronder XorIndex Loader,” zei Boychenko.
