Hack Alerta

Campanha 'Contagious Interview' usa repositórios maliciosos contra devs

Por Redação Hack Alerta Publicado em 14/01/2026 14:01 Riscos e Ameaças Tempo de leitura: 4 min

Pesquisadores da SEAL Intel e analistas citados em reportagem do Cyber Security News descreveram a campanha "Contagious Interview", onde repositórios maliciosos e tarefas ocultas do VS Code comprometem desenvolvedores. O ataque usa um controlador Node.js em memória, módulos de roubo de credenciais e um RAT com C2 em 172.86.116.178; recomendações incluem desabilitar execução automática de tarefas no VS Code, ativar workspace trust e rotação de cre

Pesquisadores identificaram uma campanha de engenharia social que mira desenvolvedores por meio de falsas vagas e repositórios de avaliação técnica contendo código projetado para comprometer máquinas e roubar credenciais.

Descoberta e escopo

O ator atribuído a operações da Coreia do Norte, em um conjunto que os pesquisadores chamaram de "Contagious Interview", foi documentado por SEAL Intel e relatado pelo Cyber Security News em análise de 14/01/2026. As vítimas são atraídas por mensagens de recrutamento no LinkedIn que aparentam representar organizações legítimas (o relatório cita nomes artefatos como "Meta2140") e são instruídas a clonar ou abrir repositórios que supostamente contêm avaliações técnicas.

Vetor e exploração

O ponto crítico da campanha é o uso de repositórios que escondem mecanismos de execução automáticos e componentes de servidor maliciosos. O material reunido pelos pesquisadores descreve três vetores principais:

  • Uma configuração de VS Code tasks oculta que, ao abrir a pasta do projeto, pode disparar tarefas automaticamente sem que o desenvolvedor execute código manualmente.
  • Ganchos na lógica da aplicação presentes no código do servidor que, quando acionados, disparam download e execução de payloads.
  • Instalação de dependência npm maliciosa como fallback caso os dois vetores anteriores falhem.

Mecanismo de execução e payloads

Segundo o relatório, o fluxo inicial baixa um controlador em Node.js que roda na memória e orquestra cinco módulos especializados: keylogger e captura de tela (que envia dados para um servidor de comando, listado como 172.86.116.178), coletor de arquivos e segredos, monitor de clipboard para endereços de criptomoedas, furtador de bancos de dados de navegadores (Chrome, Brave, Opera) e um RAT que usa socket.io para execução arbitrária de comandos. Depois do estágio Node.js, o ataque implanta payloads em Python para persistência mais robusta; no Windows há criação de entradas em startup e tarefas agendadas que imitam processos legítimos, segundo os pesquisadores.

Evidências de atribuição

Os pesquisadores relatam indícios de ligação a grupos norte‑coreanos: análise de histórico de commits e metadados aponta para operadores que já mantiveram projetos fraudulentos como "Ultra‑X"; timestamps de commits em horário padrão da Coreia (KST) foram citados como elemento corroborativo. SEAL Intel e analistas do Radar (Security Alliance) foram mencionados como quem reportou e analisou o material.

Impacto observado

As vítimas descritas no relatório sofreram perdas financeiras significativas. O pacote malicioso inclui também um módulo minerador que baixa XMRig e cria diretórios ocultos em pastas .npm e outros locais de sistema para armazenar dados exfiltrados e manter persistência entre reinicializações.

Recomendações observadas no relatório

O aviso técnico contido na fonte traz medidas claras para reduzir o risco imediato dessas cadeias de ataque:

  • Desabilitar a execução automática de tarefas no VS Code e ativar a verificação de workspace trust.
  • Sistemas que exibirem diretórios ocultos como .n2, .n3 ou .npm devem considerar rotação completa de credenciais e migração de endereços de carteira de criptomoeda a partir de dispositivos limpos.
  • No Windows, infecções com mecanismos de persistência ao nível de registro podem exigir reinstalação completa do sistema operacional.

O que falta e limites da análise

O relatório documenta casos e indicadores, mas não fornece métricas públicas consolidadas sobre número total de vítimas nem listas completas de hashes/URLs maliciosas no texto disponível. Também não há, no trecho público citado, uma análise forense completa de rede que permita descrever o pipeline de exfiltração em detalhe (por exemplo, frequências de conexão ao C2, protocolos cifrados ou amostras completas dos artefatos). As organizações afetadas deverão buscar os indicadores completos junto aos pesquisadores que publicaram a investigação.

Setores e perfis em risco

O foco nesta campanha são profissionais de desenvolvimento de software e usuários que aceitam ou abrem repositórios externos — um vetor particularmente perigoso para equipes que incorporam projetos de terceiros sem validação de segurança em ambiente isolado.

Fontes

Relatório e análise coletados a partir de Cyber Security News (SEAL Intel / Radar) — 14/01/2026.
Baseado em publicação original de Cyber Security News
Tags: #north-korea #developer-targeting #vs-code #malware #nodejs #cryptominer #remote-access #apt #repositórios-maliciosos
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar