Pesquisadores em cibersegurança identificaram uma nova onda dentro da campanha conhecida como Contagious Interview, na qual atores norte-coreanos colocaram dezenas de pacotes maliciosos no registro de npm fazendo passar por ferramentas úteis para desenvolvedores. A estratégia combina typosquatting, execução automática durante a instalação e uma camada de ofuscação baseada em esteganografia de texto alojada em serviços públicos, o que dificulta tanto a detecção automática como a revisão manual por parte de mantenedores e usuários.
O achado foi documentado pela equipe de Socket e pelo pesquisador Kieran Miyamoto em kmsec.uk. Você pode ler o relatório técnico do Socket aqui: socket.dev — StegaBin, e a investigação complementar em kmsec.uk aqui: kmsec.uk — DPRK text steganography. Ambas as análises mostram um padrão repetido: pacotes que aparentam ser livres legítimas e que declaram dependências com os nomes corretos para dar uma falsa sensação de confiança.
Os pacotes identificados incluíam um ficheiro de instalação que é executado automaticamente quando o pacote é instalado num ambiente de desenvolvimento. Esse instalador, por sua vez, carrega um componente malicioso incorporado que atua como decodificador: contate pastes públicos em serviços como Pastebin, processa o conteúdo aparente — ensaios inocentes sobre informática — e reconstrue a partir daí a direção da infraestrutura de comando e controle (C2). A técnica emprega substituições em caracteres e marcadores não visíveis para esconder endereços dentro do texto, uma forma de esteganografia textual que passa desapercibida para a maioria dos scanners automáticos e revisões superficiais.
Após a recuperação dos endereços C2, a cadeia de ataque continua a contactar uma infraestrutura hospedada em múltiplas implantaçãos da plataforma Vercel. Socket documentou que os operadores usaram várias instâncias em Vercel para distribuir cargas de próxima etapa, o que acrescenta redundância e capacidade de evasão. Você pode encontrar a documentação de Vercel como referência sobre implantação e hospedagem aqui: vercel.com/docs.
Os artefatos finais baixados pela cadeia maliciosa incluem um troiano de acesso remoto (RAT) e vários utilitários especificamente orientados para captar segredos e credenciais de desenvolvedores: persistência dentro do Visual Studio Code através de um arquivo tasks.json malicioso que se ativa ao abrir projetos, keylogging e captura da área de transferência, roubo de credenciais de navegadores e extensões de criptomoeda, digitalização de repositórios com ferramentas legítimas para extrair segredos, e exfiltração de chaves SSH e arquivos relevantes do ambiente de desenvolvimento. Entre essas ferramentas, os atacantes até descarregam a utilidade legítima TruffleHog do seu repositório oficial para agilizar a busca de segredos; a página do projeto está disponível no GitHub: trufflesecurity/trufflehog.
De acordo com as análises, o RAT estabelece conexões salientes para endereços IP e portos concretos para receber ordens e projetar controle em tempo real sobre a equipe comprometida. A partir daí, você pode executar comandos, mover-se pelo sistema de arquivos e plantar módulos adicionais para persistência e exfiltração. O resultado é uma suíte centrada em extrair inteligência e credenciais que são especialmente valiosas em um contexto profissional de desenvolvimento de software, onde os segredos e acessos a repositórios costumam permitir pivotes fáceis a infra-estruturas maiores.
O uso combinado de typosquatting (nomes de pacote que imitam livrarias conhecidas), scripts que executam ao instalar e à sinalização de confiança mediante dependências válidas é uma receita concebida para convencer desenvolvedores desprevenidos. Por isso, os relatórios recomendam extrema- precauções ao incorporar pacotes novos, revisar o conteúdo dos install scripts e preferir dependências com histórico e manutenção verificado. A própria plataforma npm oferece guias de segurança de pacotes que podem ser consultados na sua documentação: docs.npmjs.com — Security.
Além da técnica de Pastebin, os pesquisadores observaram tentativas paralelos onde os operadores usaram outros serviços públicos, como o Google Drive, para alojar cargas de próxima etapa, o que sublinha a versatilidade e o ensaio de múltiplos vetores de entrega por parte do ator. Uma análise sobre o uso do Google Drive nestas cadeias está disponível no blog de kmsec: kmsec.uk — DPRK GDrive stager.
O que as equipes e desenvolvedores podem fazer para reduzir o risco? Sem entrar em instruções técnicas que facilitem o abuso, as boas práticas passam por auditar dependências, aplicar controles automáticos que detectem scripts de instalação, usar ambientes isolados para testes, ativar políticas de bloqueio de execução de código desconhecido e revisar qualquer mudança na configuração de IDEs e editores - por exemplo, se aparecerem tarefas ou extensões desconhecidas no Visual Studio Code—. Também é recomendável ativar a verificação de pacotes e assinaturas quando o ecossistema o permita.
Esta campanha evidencia uma tendência preocupante: os atacantes orientam cada vez mais os seus esforços para vítimas técnicas, aproveitando a complexidade do fluxo de trabalho do desenvolvimento e a confiança em pacotes de terceiros. Proteção e vigilância contínuas, juntamente com uma cultura de segurança nas equipes de desenvolvimento, são as melhores defesas contra essas ameaças sofisticadas. Para entender o alcance e a metodologia com maior detalhe, veja os relatórios completos das entidades que seguiram a campanha: a análise de Socket e as notas de kmsec.uk ligadas acima.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...