Cybersecurity-Forscher haben eine neue Welle innerhalb der Kampagne namens Contagious Interview identifiziert, in der nordkoreanischen Akteure Dutzende von schädlichen Paketen in der npm-Record als nützliche Werkzeuge für Entwickler platziert haben. Die Strategie kombiniert Typosquatting, automatische Ausführung während der Installation und eine Abgrenzungsschicht auf der Grundlage von Textgenerographie, die in öffentlichen Diensten gehostet wird, die es für die automatische Erkennung und manuelle Überprüfung durch Betreuer und Benutzer erschwert.
Die Entdeckung wurde von Sockets Team und Forscher Kieran Miyamoto in kmsec.uk dokumentiert. Hier können Sie den technischen Bericht von Socket lesen: Steckdose.dev - StegaBin und die zusätzliche Forschung in kmsec. uk hier: kmsec.uk - DPRK Textsteganographie. Beide Analysen zeigen ein wiederholtes Muster: Pakete, die als legitime Buchhandlungen erscheinen und Abhängigkeiten mit den richtigen Namen erklären, um ein falsches Vertrauen zu geben.
Die identifizierten Pakete enthielten eine Installationsdatei, die automatisch läuft, wenn das Paket in einer Entwicklungsumgebung installiert ist. Dieser Installer lädt wiederum eine schädliche eingebettete Komponente, die als Decoder fungiert: es kontaktiert öffentliche Weiden in Dienstleistungen wie Pastebin, verarbeiten Sie den scheinbaren Inhalt - unschuldige Computer-Essays - und rekonstruieren von dort die Richtung der Befehls- und Kontrollinfrastruktur (C2). Die Technik verwendet Substitutionen in Zeichen und nicht sichtbaren Markern, um Adressen innerhalb des Textes zu verbergen, eine Form der textuellen Steganographie, die für die meisten automatischen Scanner und Oberflächenrezensionen unbemerkt geht.
Sobald die C2-Adressen wiederhergestellt werden, kontaktiert die Angriffskette weiterhin eine Infrastruktur, die in mehreren Bereitstellungen der Vercel-Plattform gehostet wird. Socket dokumentierte, dass die Betreiber mehrere Instanzen in Vercel verwendet haben, um Lasten der nächsten Stufe zu verteilen, um Redundanz und Vermeidungskapazität hinzuzufügen. Sie können die Vercel-Dokumentation als Referenz für Bereitstellungen und Hosting hier überprüfen: vercel.com / docs.
Die letzten Artefakte, die von der schädlichen Kette heruntergeladen werden, umfassen einen Remote Access Trojan (RAT) und mehrere Dienstprogramme, die speziell darauf abzielen, Geheimnisse und Entwickler-Anmeldeinformationen zu erfassen: Persistenz innerhalb von Visual Studio Code durch eine schädliche Aufgaben. json-Datei, die durch Öffnen von Projekten, Keylogging und Clipboard-Erfassung, Browser-Anmelde-Diebstahl und Kryptomoneda-Erweiterungen, Scannen von Repositories mit legitimen Werkzeugen, um Geheimnisse zu extrahieren, und Exfiltration von SSH-Tasten und relevanten Dateien aus der Entwicklungsumgebung aktiviert wird. Unter diesen Tools laden Angreifer sogar das legitime TruffleHog-Dienstprogramm von ihrem offiziellen Repository herunter, um die Suche nach Geheimnissen zu beschleunigen; die Projektseite ist in GitHub verfügbar: Trüffelsicherheit / Trüffelhocker.
Gemäß der Analyse stellt die RAT ausgehende Verbindungen zu bestimmten IP-Adressen und -Ports her, um Bestellungen zu empfangen und Echtzeitkontrolle über die kompromittierten Geräte zu projizieren. Von dort können Sie Befehle ausführen, durch das Dateisystem bewegen und zusätzliche Module für Persistenz und Exfiltration pflanzen. Das Ergebnis ist eine Suite, die sich auf die Gewinnung von Intelligenz und Anmeldeinformationen konzentriert, die in einem professionellen Kontext der Softwareentwicklung besonders wertvoll sind. wo Geheimnisse und Zugriff auf Repositorys oft einfache Schwenkungen auf größere Infrastruktur ermöglichen.
Die kombinierte Verwendung von Typosquatting (Verpackungsnamen, die bekannte Buchhandlungen imitieren), Skripte, die bei der Installation und zuverlässigen Signalisierung durch gültige Abhängigkeiten laufen, ist ein Rezept, das unvorhergesehene Entwickler überzeugen soll. Aus diesem Grund empfehlen Berichte extreme Vorsichtsmaßnahmen durch die Einbeziehung neuer Pakete, die Überprüfung der Inhalte der Skripte installieren und bevorzugen Abhängigkeiten mit überprüfter Geschichte und Wartung. Die npm Plattform selbst bietet Paketsicherheitsführer, die in ihrer Dokumentation zu finden sind: docs.npmjs.com - Sicherheit.
Neben Pastebins Technik haben Forscher parallele Versuche beobachtet, bei denen die Betreiber andere öffentliche Dienstleistungen wie Google Drive nutzten, um Lasten der nächsten Stufe aufzunehmen, was die Vielseitigkeit und das Testen mehrerer Liefervektoren durch den Schauspieler hervorhebt. Eine Analyse der Nutzung von Google Drive in diesen Ketten ist auf dem kmsec Blog verfügbar: kmsec.uk - DPRK GDrive Manager.
Was können Teams und Entwickler tun, um das Risiko zu reduzieren? Ohne Eingabe in technische Anweisungen, die Missbrauch erleichtern, gute Praktiken durch Auditing-Einheiten passieren, Anwendung automatischer Kontrollen, die Installationsskripte erkennen, mithilfe isolierter Testumgebungen, Aktivierung von Richtlinien, um die Ausführung von unbekannten Code zu blockieren und Änderungen in der Konfiguration von IDEs und Editoren zu überprüfen - zum Beispiel, wenn Aufgaben oder Erweiterungen in Visual Studio Code gefunden werden. Es wird auch empfohlen, die Überprüfung von Paketen und Unterschriften zu ermöglichen, wenn das Ökosystem erlaubt.
Diese Kampagne zeigt einen besorgniserregenden Trend: Die Angreifer zielen zunehmend auf technische Opfer ab und nutzen die Komplexität des Entwicklungs-Workflows und das Vertrauen in Drittpakete. Ständiger Schutz und Überwachung, zusammen mit einer Kultur der Sicherheit in Entwicklungsteams, sind die besten Verteidigungen gegen diese anspruchsvollen Bedrohungen. Um den Umfang und die Methodik genauer zu verstehen, überprüfen Sie die vollständigen Berichte der Entitäten, die der Kampagne folgten: die Socket-Analyse und die oben aufgeführten Kilometersec.uk-Notizen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...