14.11.2025

Contagious Interview: КНДР использует JSON‑хранилища для доставки InvisibleFerret

Исследователи обнаружили эволюцию активности кампании Contagious Interview, связанной с злоумышленниками из Корейской Народно-Демократической Республики (КНДР). Начиная с 2023 года акторы целенаправленно атакуют разработчиков ПО на платформах Windows, Linux и macOS, с особым акцентом на специалистов, вовлеченных в криптовалютные проекты и Web3. Главная мотивация — финансовая выгода в интересах режима КНДР.

Краткое содержание атаки

Акторы применяют социальную инженерию и поддельные профили рекрутеров для получения первоначального доступа. Типичный сценарий включает контакт через профессиональные сети, такие как LinkedIn, где «медицинский директор» или другой фиктивный сотрудник приглашает кандидата пройти этапное техническое интервью и выполнить демонстрационный код. В реальности в этом коде скрыт троянский модуль, который при выполнении инициирует скачивание и установку вредоносных компонентов.

«Использование сервисов хранения JSON позволяет злоумышленникам размещать полезные полезности в формате, который трудно фильтровать традиционными средствами безопасности, — что делает их операции более устойчивыми к обнаружению», — констатируют исследователи.

Методы и инструменты

Для доставки и дальнейшей работы вредоносной нагрузки злоумышленники комбинируют несколько техник и инструментов:

Социальная инженерия: использование ClickFix и поддельных профилей рекрутеров на LinkedIn.
Принуждение к исполнению вредоносного кода в рамках задания интервью, чаще всего с использованием Node.JS.
Стиллеры: BeaverTail и OtterCookie, применяемые для кражи учетных данных и другой информации.
Модульный RAT: InvisibleFerret — удаленный модульный инструмент доступа, написанный на Python и ориентированный на эксфильтрацию данных.
Использование JSON-хранилищ, таких как JSON Keeper и npoint.io, для размещения вредоносных payload’ов и конфигураций.
Дополнительные загрузчики и хранилища: использование Pastebin и размещение полезных нагрузок на платформах, включая Railway.

Техническая эволюция и особенности InvisibleFerret

InvisibleFerret представляет собой модульную структуру вредоносного ПО на Python. Модульность обеспечивает гибкую конфигурацию и адаптацию под задачи акторов: сбор данных, удаленное управление, загрузка дополнительных модулей. В ряде образцов исследователи зафиксировали поведение, при котором RAT загружал дополнительную полезную нагрузку с публичных платформ вроде Pastebin, что повышает оперативную гибкость кампании и усложняет его детектирование.

Инфраструктура и индикаторы компрометации

Анализ инфраструктуры показал системный подход к сокрытию активности:

Размещение конфигураций и бинарников в JSON-хранилищах (JSON Keeper, npoint.io), что помогает обходить фильтры и IDS/IPS.
Использование хостинга и сервисов третьих сторон (Railway) для развертывания дополнительных полезных нагрузок.
Зарегистрированные IP-адреса и множества хранилищ, связанных с кампанией, предоставляют индикаторы для мониторинга и IOC.

Типичные индикаторы, на которые стоит обратить внимание:

Взаимодействия с доменами и API JSON Keeper, npoint.io, Pastebin и хостами Railway в контексте запуска Node.JS-скриптов;
Активность известных стиллеров BeaverTail и OtterCookie в среде пользователя;
Процессы Python, загружающие дополнительные модули извне, или необычные запросы к публичным JSON-хранилищам;
Необычная сетевая активность, эксфильтрация данных и скрытые соединения к C2-серверам.

Кому угрожает и зачем

Основная цель кампании — финансовая выгода: кража средств, учетных данных и конфиденциальной информации для последующей монетизации. Приоритетные мишени — разработчики и специалисты, работающие с криптовалютой и Web3, поскольку они обладают доступом к релевантным ключам, кошелькам и инфраструктуре.

Практические рекомендации для защиты

Организациям и специалистам безопасности рекомендуется предпринять следующие меры:

Проверять подлинность рекрутерских профилей и сообщений в профессиональных сетях; избегать загрузки и выполнения кода от неизвестных контактов.
Ограничить возможность запуска произвольного Node.JS-кода на рабочих машинах, использовать песочницы и политики исполнения.
Мониторить сетевые обращения к JSON Keeper, npoint.io, Pastebin и хостам Railway; внедрить блокировку или проверку таких подключений при необходимости.
Внедрить детектирование поведений, характерных для стиллеров и RAT’ов: перехват credential-менеджеров, подозрительные файловые операции, шифрование и массовая эксфильтрация.
Обновлять threat intelligence и обмениваться IOC с сообществом для оперативного реагирования.

Вывод

Кампания Contagious Interview демонстрирует рост изощренности: злоумышленники адаптируют инструменты и инфраструктуру, чтобы скрыть доставку и управление вредоносными компонентами. Использование публичных JSON-хранилищ и модульных RAT делает атаки более гибкими и сложными для обнаружения. Для минимизации рисков необходим синтез технических мер безопасности, осведомленности сотрудников и оперативного обмена информацией о новых индикаторах компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Автор: Технологии киберугроз

Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.

Комментарии: