Злоумышленники из КНДР, связанные с кампанией Contagious Interview, опубликовали 67 вредоносных пакетов в репозитории npm. Их цель — отравление экосистемы open-source через атаки на цепочку поставок ПО. Пакеты содержат новую версию загрузчика вредоносных программ под названием XORIndex, которая собрала более 17 000 загрузок по данным экспертов.
Эта волна атак расширяет активность, зафиксированную в июне 2025 года, когда было обнаружено 35 пакетов с загрузчиком HexEval. С июня по июль 2025 года XORIndex привлек свыше 9 000 загрузок, в то время как HexEval продолжил распространяться через новые пакеты, набрав дополнительные 8 000 загрузок.
Кампания Contagious Interview, также известная как DeceptiveDevelopment, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342 и Void Dokkaebi, была впервые публично раскрыта в конце 2023 года. Её метод — заманивание разработчиков, уже работающих в целевых компаниях, на выполнение поддельных «тестовых заданий». Эта тактика дополняет печально известную схему найма удаленных IT-специалистов Пхеньяном.
Механизм заражения начинается с вредоносных пакетов npm, которые служат каналом для доставки BeaverTail — JavaScript-загрузчика, похищающего данные браузеров и криптокошельков. Затем внедряется бэкдор InvisibleFerret на Python. Новый загрузчик XORIndex выполняет разведку системы, определяет внешний IP через жестко прописанные C2-серверы, передает данные злоумышленникам и запускает BeaverTail.
Эволюция загрузчиков демонстрирует рост сложности: ранние версии не имели средств обфускации и сбора данных, тогда как второе и третье поколения уже включают функции рекогносцировки. По прогнозам аналитика Boychenko, угроза сохранится: хакеры продолжат ротацию псевдонимов в npm, повторное использование HexEval, BeaverTail и InvisibleFerret, а также внедрение новых вариантов, подобных XORIndex.
Изображение носит иллюстративный характер
Эта волна атак расширяет активность, зафиксированную в июне 2025 года, когда было обнаружено 35 пакетов с загрузчиком HexEval. С июня по июль 2025 года XORIndex привлек свыше 9 000 загрузок, в то время как HexEval продолжил распространяться через новые пакеты, набрав дополнительные 8 000 загрузок.
Кампания Contagious Interview, также известная как DeceptiveDevelopment, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342 и Void Dokkaebi, была впервые публично раскрыта в конце 2023 года. Её метод — заманивание разработчиков, уже работающих в целевых компаниях, на выполнение поддельных «тестовых заданий». Эта тактика дополняет печально известную схему найма удаленных IT-специалистов Пхеньяном.
Механизм заражения начинается с вредоносных пакетов npm, которые служат каналом для доставки BeaverTail — JavaScript-загрузчика, похищающего данные браузеров и криптокошельков. Затем внедряется бэкдор InvisibleFerret на Python. Новый загрузчик XORIndex выполняет разведку системы, определяет внешний IP через жестко прописанные C2-серверы, передает данные злоумышленникам и запускает BeaverTail.
Эволюция загрузчиков демонстрирует рост сложности: ранние версии не имели средств обфускации и сбора данных, тогда как второе и третье поколения уже включают функции рекогносцировки. По прогнозам аналитика Boychenko, угроза сохранится: хакеры продолжат ротацию псевдонимов в npm, повторное использование HexEval, BeaverTail и InvisibleFerret, а также внедрение новых вариантов, подобных XORIndex.
