De Noord-Koreaanse dreigingsactoren achter de Contagious Interview-campagne hebben hun tactiek opnieuw aangepast door JSON-opslagdiensten te gebruiken om kwaadaardige ladingen te organiseren.
“De bedreigingsactoren hebben onlangs hun toevlucht genomen tot het gebruik van JSON-opslagdiensten zoals JSON Keeper, JSONsilo en npoint.io om malware van getrojaniseerde codeprojecten te hosten en af te leveren, met de aantrekkingskracht”, zeiden NVISO-onderzoekers Bart Parys, Stef Collart en Efstratios Lontzetidis in een donderdagrapport.
De campagne bestaat in essentie uit het benaderen van potentiële doelwitten op professionele netwerksites als LinkedIn, hetzij onder het voorwendsel van het uitvoeren van een functiebeoordeling of het samenwerken aan een project, waarbij ze de opdracht krijgen een demoproject te downloaden dat wordt gehost op platforms als GitHub, GitLab of Bitbucket.
In een dergelijk project dat NVISO heeft opgemerkt, is ontdekt dat een bestand met de naam “server/config/.config.env” een Base64-gecodeerde waarde bevat die zich voordoet als een API-sleutel, maar in werkelijkheid een URL is naar een JSON-opslagservice zoals JSON Keeper, waar de payload van de volgende fase in een versluierd formaat wordt opgeslagen.
De payload is een JavaScript-malware die bekend staat als BeaverTail en die in staat is gevoelige gegevens te verzamelen en een Python-achterdeur met de naam InvisibleFerret te laten vallen. Hoewel de functionaliteit van de achterdeur grotendeels onveranderd is gebleven sinds deze voor het eerst werd gedocumenteerd door Palo Alto Networks eind 2023, is een opmerkelijke verandering het ophalen van een extra lading genaamd TsunamiKit van Pastebin.
Het is vermeldenswaard dat het gebruik van TsunamiKit als onderdeel van de Contagious Interview-campagne al in september 2025 door ESET werd benadrukt, waarbij de aanvallen ook Tropidoor en AkdoorTea lieten vallen. De toolkit kan systeemvingerafdrukken maken, gegevens verzamelen en meer payloads ophalen van een hardgecodeerd .onion-adres dat momenteel offline is.
“Het is duidelijk dat de actoren achter Contagious Interview niet achterblijven en proberen een zeer breed net uit te werpen om elke (software) ontwikkelaar die voor hen interessant lijkt in gevaar te brengen, resulterend in exfiltratie van gevoelige gegevens en crypto-portemonnee-informatie”, concludeerden de onderzoekers.
“Het gebruik van legitieme websites zoals JSON Keeper, JSON Silo en npoint.io, samen met coderepository’s zoals GitLab en GitHub, onderstreept de motivatie van de acteur en zijn aanhoudende pogingen om heimelijk te opereren en op te gaan in het normale verkeer.”
