🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A campanha persistente ligada à Coreia do Norte, conhecida como Entrevista Contagiosa, espalhou seus tentáculos ao publicar pacotes maliciosos direcionados aos ecossistemas Go, Rust e PHP.
"Os pacotes do agente da ameaça foram projetados para se passar por ferramentas legítimas de desenvolvedor [...], enquanto funcionavam silenciosamente como carregadores de malware, estendendo o manual estabelecido da Contagious Interview para uma operação coordenada da cadeia de suprimentos entre ecossistemas", disse o pesquisador de segurança da Socket, Kirill Boychenko, em um relatório de terça-feira.
A lista completa de pacotes identificados é a seguinte:
npm: dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt, debug-glitz
PyPI: logutilkit, apachelicense, fluxhttp, License-utils-kit
Acesse: github[.]com/golangorg/formstash, github[.]com/aokisasakidev/mit-license-pkg
Ferrugem: logtrace
Empacotador: golangorg/logkit
Esses carregadores são projetados para buscar cargas de segundo estágio específicas da plataforma, que acabam sendo um malware com recursos de infostealer e trojan de acesso remoto (RAT). Seu foco principal é coletar dados de navegadores da Web, gerenciadores de senhas e carteiras de criptomoedas.
No entanto, uma versão do malware para Windows entregue por meio do "license-utils-kit" incorpora o que é descrito pelo Socket como um "implante pós-comprometimento completo" equipado para executar comandos shell, registrar pressionamentos de teclas, roubar dados do navegador, fazer upload de arquivos, encerrar navegadores da Web, implantar o AnyDesk para acesso remoto, criar um arquivo criptografado e baixar módulos adicionais.
"Isso torna este cluster notável não apenas por seu alcance entre ecossistemas, mas pela profundidade da funcionalidade pós-compromisso incorporada em pelo menos parte da campanha", acrescentou Boychenko.
O que torna o conjunto mais recente de bibliotecas digno de nota é que o código malicioso não é acionado durante a instalação. Em vez disso, ele é incorporado a funções aparentemente legítimas que se alinham à finalidade anunciada do pacote. Por exemplo, no caso de "logtrace", o código fica oculto em "Logger::trace(i32)", um método que provavelmente não levantará suspeitas no desenvolvedor.
A expansão da Contagious Interview em cinco ecossistemas de código aberto é mais um sinal de que a campanha é uma ameaça persistente e com bons recursos à cadeia de suprimentos, projetada para se infiltrar sistematicamente nessas plataformas como vias de acesso iniciais para violar ambientes de desenvolvedores para espionagem e ganho financeiro.
Ao todo, a Socket disse que identificou mais de 1.700 pacotes maliciosos vinculados à atividade desde o início de janeiro de 2025.
A descoberta faz parte de uma campanha mais ampla de comprometimento da cadeia de fornecimento de software realizada por grupos de hackers norte-coreanos. Isso inclui o envenenamento do popular pacote npm Axios para distribuir um implante chamado WAVESHAPER.V2 após assumir o controle da conta npm do mantenedor do pacote por meio de uma campanha personalizada de engenharia social.
O ataque foi atribuído a um ator de ameaça com motivação financeira conhecido como UNC1069, que se sobrepõe a BlueNoroff, Sapphire Sleet e Stardust Chollima. A Security Alliance (SEAL), em um relatório publicado hoje, disse que bloqueou 164 domínios vinculados ao UNC1069 que se faziam passar por serviços como Microsoft Teams e Zoom entre 6 de fevereiro e 7 de abril de 2026.
"UNC1069 opera campanhas de engenharia social de baixa pressão e com duração de várias semanas no Telegram, LinkedIn e Slack - seja se passando por contatos conhecidos ou marcas confiáveis ou aproveitando o acesso a contas individuais e empresariais previamente comprometidas - antes de entregar um link fraudulento de reunião do Zoom ou do Microsoft Teams", disse SEAL.
Esses links de reuniões falsos são usados para servir iscas semelhantes ao ClickFix, resultando na execução de malware que entra em contato com um servidor controlado pelo invasor para roubo de dados e atividades pós-exploração direcionadas no Windows, macOS e Linux.
"Os operadores deliberadamente não agem imediatamente após o acesso inicial. O implante fica inativo ou passivo por um período após o comprometimento", acrescentou SEAL. "O alvo normalmente reagenda a chamada com falha e continua as operações normais, sem saber que o dispositivo está comprometido. Essa paciência estende a janela operacional e maximiza o valor extraído antes que qualquer resposta ao incidente seja acionada."
Em uma declaração compartilhada com o The Hacker News, a Microsoft disse que os agentes de ameaças norte-coreanos com orientação financeira estão evoluindo ativamente seu conjunto de ferramentas e infraestrutura, usando domínios disfarçados de instituições financeiras sediadas nos EUA e aplicativos de videoconferência para engenharia social.
"O que estamos vendo consistentemente é uma evolução contínua na forma como os atores motivados financeiramente e ligados à RPDC operam, mudanças nas ferramentas, infraestrutura e direcionamento, mas com clara continuidade no comportamento e na intenção", disse Sherrod DeGrippo, gerente geral de inteligência de ameaças da Microsoft.
"Os pacotes do agente da ameaça foram projetados para se passar por ferramentas legítimas de desenvolvedor [...], enquanto funcionavam silenciosamente como carregadores de malware, estendendo o manual estabelecido da Contagious Interview para uma operação coordenada da cadeia de suprimentos entre ecossistemas", disse o pesquisador de segurança da Socket, Kirill Boychenko, em um relatório de terça-feira.
A lista completa de pacotes identificados é a seguinte:
npm: dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt, debug-glitz
PyPI: logutilkit, apachelicense, fluxhttp, License-utils-kit
Acesse: github[.]com/golangorg/formstash, github[.]com/aokisasakidev/mit-license-pkg
Ferrugem: logtrace
Empacotador: golangorg/logkit
Esses carregadores são projetados para buscar cargas de segundo estágio específicas da plataforma, que acabam sendo um malware com recursos de infostealer e trojan de acesso remoto (RAT). Seu foco principal é coletar dados de navegadores da Web, gerenciadores de senhas e carteiras de criptomoedas.
No entanto, uma versão do malware para Windows entregue por meio do "license-utils-kit" incorpora o que é descrito pelo Socket como um "implante pós-comprometimento completo" equipado para executar comandos shell, registrar pressionamentos de teclas, roubar dados do navegador, fazer upload de arquivos, encerrar navegadores da Web, implantar o AnyDesk para acesso remoto, criar um arquivo criptografado e baixar módulos adicionais.
"Isso torna este cluster notável não apenas por seu alcance entre ecossistemas, mas pela profundidade da funcionalidade pós-compromisso incorporada em pelo menos parte da campanha", acrescentou Boychenko.
O que torna o conjunto mais recente de bibliotecas digno de nota é que o código malicioso não é acionado durante a instalação. Em vez disso, ele é incorporado a funções aparentemente legítimas que se alinham à finalidade anunciada do pacote. Por exemplo, no caso de "logtrace", o código fica oculto em "Logger::trace(i32)", um método que provavelmente não levantará suspeitas no desenvolvedor.
A expansão da Contagious Interview em cinco ecossistemas de código aberto é mais um sinal de que a campanha é uma ameaça persistente e com bons recursos à cadeia de suprimentos, projetada para se infiltrar sistematicamente nessas plataformas como vias de acesso iniciais para violar ambientes de desenvolvedores para espionagem e ganho financeiro.
Ao todo, a Socket disse que identificou mais de 1.700 pacotes maliciosos vinculados à atividade desde o início de janeiro de 2025.
A descoberta faz parte de uma campanha mais ampla de comprometimento da cadeia de fornecimento de software realizada por grupos de hackers norte-coreanos. Isso inclui o envenenamento do popular pacote npm Axios para distribuir um implante chamado WAVESHAPER.V2 após assumir o controle da conta npm do mantenedor do pacote por meio de uma campanha personalizada de engenharia social.
O ataque foi atribuído a um ator de ameaça com motivação financeira conhecido como UNC1069, que se sobrepõe a BlueNoroff, Sapphire Sleet e Stardust Chollima. A Security Alliance (SEAL), em um relatório publicado hoje, disse que bloqueou 164 domínios vinculados ao UNC1069 que se faziam passar por serviços como Microsoft Teams e Zoom entre 6 de fevereiro e 7 de abril de 2026.
"UNC1069 opera campanhas de engenharia social de baixa pressão e com duração de várias semanas no Telegram, LinkedIn e Slack - seja se passando por contatos conhecidos ou marcas confiáveis ou aproveitando o acesso a contas individuais e empresariais previamente comprometidas - antes de entregar um link fraudulento de reunião do Zoom ou do Microsoft Teams", disse SEAL.
Esses links de reuniões falsos são usados para servir iscas semelhantes ao ClickFix, resultando na execução de malware que entra em contato com um servidor controlado pelo invasor para roubo de dados e atividades pós-exploração direcionadas no Windows, macOS e Linux.
"Os operadores deliberadamente não agem imediatamente após o acesso inicial. O implante fica inativo ou passivo por um período após o comprometimento", acrescentou SEAL. "O alvo normalmente reagenda a chamada com falha e continua as operações normais, sem saber que o dispositivo está comprometido. Essa paciência estende a janela operacional e maximiza o valor extraído antes que qualquer resposta ao incidente seja acionada."
Em uma declaração compartilhada com o The Hacker News, a Microsoft disse que os agentes de ameaças norte-coreanos com orientação financeira estão evoluindo ativamente seu conjunto de ferramentas e infraestrutura, usando domínios disfarçados de instituições financeiras sediadas nos EUA e aplicativos de videoconferência para engenharia social.
"O que estamos vendo consistentemente é uma evolução contínua na forma como os atores motivados financeiramente e ligados à RPDC operam, mudanças nas ferramentas, infraestrutura e direcionamento, mas com clara continuidade no comportamento e na intenção", disse Sherrod DeGrippo, gerente geral de inteligência de ameaças da Microsoft.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #hackers #nortecoreanos #espalham #1.700 #pacotes #maliciosos #em #npm, #pypi, #go, #rust
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário