Северокорейская кампания Contagious Interview: вредоносные пакеты в npm

Исследователи обнаружили массовую операцию, связную с группировками, ассоциируемыми с Северной Кореей, — кампания Contagious Interview, реализуемая через реестр npm. В рамках операции злоумышленники загрузили более 338 вредоносных пакетов, которые в совокупности были скачаны примерно 50 000 раз. Цель — кража криптовалюты и установка постоянного доступа к системам жертв.

Краткая схема атаки

Операция следует методичному жизненному циклу, характерному для современных атак на цепочки поставок ПО, и включает несколько этапов:

• Разведка (Reconnaissance) — злоумышленники целятся на специалистов по криптовалютам и blockchain-разработчиков, используя профили в социальных сетях, в частности LinkedIn, выдавая себя за рекрутеров или hiring managers.
• Создание оружия (Weaponization) — быстрый цикл публикации вредоносного кода в виде npm-пакетов; злоумышленники часто вносят итеративные изменения в загрузчики и install-скрипты.
• Доставка (Delivery) — отправка потенциальным жертвам серии сообщений с предложениями интервью и ссылками на репозитории или документы, которые после клонирования и запуска инициируют вредоносные скрипты.
• Эксплуатация (Exploitation) — запуск вредоносного кода осуществляется пользователем (user-driven execution), а не за счёт эксплойтов уязвимостей.
• Установка (Installation) — цепочка из вложенных пакетов: небольшой начальный загрузчик развёртывает в памяти более сложный модуль (BeaverTail), который затем извлекает мультиплатформенный бэкдор InvisibleFerret.
• Командно-диспетчерская связь (C2) — соединения устанавливаются через HTTP(s) и иногда через WebSocket, что позволяет регистрировать скомпрометированные узлы и получать дальнейшие команды.
• Цели — кража криптовалюты и обеспечение долговременного доступа для дальнейшей эксплуатации инфраструктуры жертв.

Атака облегчается с помощью перехватов жизненного цикла npm, особенно во время процессов установки или импорта.

Технические особенности вредоносного ПО

Исследователи выделяют несколько ключевых технических приёмов:

• Три семейства загрузчиков, которые по цепочке переходят от доставки к выполнению кода злоумышленника.
• Начальный загрузчик небольшой, но он воссоздаёт более сложный модуль BeaverTail в памяти; тот, в свою очередь, извлекает InvisibleFerret — кроссплатформенный бэкдор для Windows, macOS и Linux.
• Обфускация полезной нагрузки: код второго этапа иногда закодирован длинными hex-строками или скрывается с помощью XOR-шифрования для обхода обнаружения.
• C2-коммуникация через HTTP(s) и WebSocket для регистрации устройств и получения команд.

Масштаб и последствия

Точные финансовые потери от этой конкретной кампании пока не ясны, однако доклады указывают, что акторы, связанные с Северной Кореей, могли похитить около 2 млрд долларов только в 2025 году в результате атак на криптопространство. Стратегия социальной инженерии и целенаправленность на разработчиков гарантируют, что жертвы часто располагают ценными учетными данными и секретами, что повышает риск значительных потерь.

Соответствие MITRE ATT&CK

Тактики и техники кампании коррелируют с несколькими категориями в платформе MITRE ATT&CK:

• Compromise Supply Chain — компрометация цепочки поставок.
• User Execution of Malicious Files — выполнение вредоносных файлов с участием пользователя.
• Obfuscation — методы скрытия вредоносных скриптов и payload.

Рекомендации для разработчиков и платформ

Для снижения риска атак через реестры пакетов и фишинговые кампании эксперты рекомендуют:

• Проверять происхождение и подписи пакетов; по возможности использовать подписанные релизы и lockfile-пиннинг.
• Включить сканирование зависимостей и SCA-инструменты в CI/CD-процессы, а также проверять install-скрипты и postinstall-хуки.
• Ограничивать права выполнения для каталогов установки и работать под наименьшими привилегиями.
• Обучать команды распознавать фишинговые сообщения и сомнительные предложения о «собеседовании» или вакансии от псевдо-рекрутеров.
• Использовать многослойную защиту для управления ключами и кошельками: аппаратные кошельки, раздельное окружение для разработки и тестирования, многофакторная аутентификация (MFA).
• Мониторить динамику публикаций в реестре: быстрые повторные загрузки удалённых пакетов, typosquatting и массовые изменения в install-скриптах.
• Платформам (npm и провайдерам репозиториев) — усилить верификацию аккаунтов, оперативно реагировать на жалобы и внедрять детектирование подозрительных паттернов публикации.

Вывод

Кампания Contagious Interview демонстрирует, как злоумышленники сочетают социальную инженерию и компрометацию цепочки поставок для атак на криптопространство. Использование реестра npm как канала распространения, многоступенчатая архитектура загрузчиков и мультиплатформенная направленность бэкдоров делают эту операцию особенно опасной для разработчиков и организаций, связанных с blockchain и криптовалютами. В условиях роста подобных атак важно сочетать технические меры безопасности с постоянной подготовкой сотрудников и оперативной координацией сообществ безопасности и провайдеров репозиториев.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.