Hack Alerta

Campanha Contagious Interview usa serviços JSON para distribuir malware

Por Redação Hack Alerta Publicado em 14/11/2025 10:02 Riscos e Ameaças Tempo de leitura: 3 min

A campanha chamada Contagious Interview usa serviços legítimos de armazenamento de JSON (JSON Keeper, JSONsilo, npoint.io) e projetos trojanizados para entregar BeaverTail (infostealer) e o RAT InvisibleFerret a desenvolvedores, especialmente os ligados a criptomoedas, segundo NVISO Labs e Cyber Security News.

Pesquisadores identificaram uma campanha focada em desenvolvedores que utiliza serviços legítimos de armazenamento de JSON para hospedar e entregar código malicioso embutido em projetos de demonstração.

Descoberta e panorama

Relato do Cyber Security News, baseado em análise citada do NVISO Labs, descreve a operação "Contagious Interview", ativa desde pelo menos 2023 e atribuída por NVISO a atores alinhados à DPRK. A campanha explora plataformas como JSON Keeper, JSONsilo e npoint.io para hospedar payloads ofuscados.

Vetor e abordagem técnica

O acesso inicial é alcançado por engenharia social: recrutadores falsos abordam desenvolvedores em plataformas como LinkedIn e oferecem testes técnicos ou projetos de avaliação hospedados em GitHub/GitLab. Os projetos de demonstração parecem legítimos, com readmes e estrutura profissional.

Arquivos de configuração contêm variáveis em base64 que mascaram URLs de serviços JSON. Quando decodificadas, essas variáveis apontam para códigos JavaScript fortemente ofuscados hospedados nos serviços mencionados. O fluxo de execução se dá via operações legítimas do Node.js que buscam e executam o código remoto.

Payloads e estágios

  • O JavaScript ofuscado é usado para baixar o infostealer BeaverTail — especializado em roubo de carteiras, dados de sistema e informações de extensões de navegador relacionadas a criptomoedas.
  • Após o BeaverTail, o framework InvisibleFerret (RAT, em Python) é implantado em estágios subsequentes; ele realiza fingerprinting, exfiltração e download de payloads adicionais.
  • Serviços legítimos adicionais, como Pastebin e Railway, são usados para hospedar artefatos e dificultar a detecção.

Impacto e alvo

A campanha visa desenvolvedores em Windows, Linux e macOS, com foco especial em profissionais ligados a projetos de criptomoedas e Web3. O objetivo declarado pelos analistas citados é financeiro — roubo de ativos digitais e informações sensíveis.

Mitigações e recomendações

As fontes recomendam cautela ao receber código não solicitado de recrutadores ou fontes desconhecidas. Medidas práticas mencionadas incluem inspeção de arquivos de configuração em busca de chaves/API suspeitas e monitoramento do comportamento de execuções Node.js para detectar fetches remotos e execuções de códigos ofuscados.

Limitações das informações

NVISO Labs e o resumo no Cyber Security News relatam alinhamento com atores da DPRK e descrevem a cadeia de ataque; porém as matérias não fornecem indicadores de comprometimento (IoCs) completos no texto do RSS nem detalhes sobre mitigação técnica avançada além das recomendações operacionais gerais.

Fontes citadas: NVISO Labs (referenciado pelo Cyber Security News).

Baseado em publicação original de NVISO Labs
Tags: #json #nodejs #infostealer #beavertail #invisibleferret #developers #web3 #malware-delivery #dprk
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar