Hack Alerta

Grupo norte-coreano usa serviços JSON para distribuir malware

Por Redação Hack Alerta Publicado em 14/11/2025 16:02 Riscos e Ameaças Tempo de leitura: 2 min

Pesquisadores identificaram que o grupo por trás da campanha Contagious Interview passou a utilizar serviços públicos de armazenamento JSON (JSON Keeper, JSONsilo, npoint.io) para hospedar e entregar payloads maliciosos ligados a projetos de código trojanizados.

Pesquisadores detectaram variações na tática do grupo ligado à campanha "Contagious Interview": arquivos JSON hospedados em serviços públicos passaram a ser usados para armazenar e entregar payloads maliciosos.

Descoberta e escopo

Relatos compilados por pesquisadores mostram que atores norte‑coreanos associados à campanha Contagious Interview passaram a usar serviços de armazenamento JSON públicos — citados nas investigações como JSON Keeper, JSONsilo e npoint.io — como estágios para payloads maliciosos ligados a projetos de código trojanizados.

Abordagem técnica

A técnica consiste em aproveitar repositórios JSON públicos para hospedar conteúdos que, quando consumidos por projetos de software trojanizados, acionam a recuperação de código ou outros artefatos maliciosos. O uso desses serviços explora a confiança em fontes aparentemente benignas e a falta de controles robustos sobre conteúdo JSON consumido em build/runtime.

Impacto e alcance

As fontes não trazem um número consolidado de vítimas, mas indicam que a abordagem permite que operadores entreguem malware de forma dissimulada, alavancando serviços legítimos para reduzir sinais óbvios de comprometimento e dificultar bloqueios por listas estáticas.

Mitigações práticas

  • Monitorar e controlar dependências externas e chamadas a serviços de armazenamento dinâmico (incluindo endpoints JSON públicos);
  • Aplicar validação estrita de conteúdos consumidos por processos de build e runtime;
  • Adotar políticas de bloqueio/filtragem para endpoints não autorizados em ambientes de CI/CD e produção; e
  • Usar assinaturas/verificação de integridade para artefatos de código e dependências.

Limitações das informações

As publicações consultadas descrevem as mudanças táticas e citam os serviços usados como estágios de entrega, mas não detalham vetores de inicial acesso, número de repositórios afetados ou listas completas de URLs/IoCs. Também não há atribuição unânime além da menção ao conjunto de campanhas reunidas como Contagious Interview.

Contexto operacional

O uso de serviços públicos para entrega de payload reflete uma tendência maior entre grupos sofisticados de abuso de infraestruturas legítimas para reduzir a visibilidade operacional. Profissionais de segurança devem incorporar controles de ingestão de conteúdo e análises de comportamento para detectar esse padrão.

Baseado em publicação original de The Hacker News
Tags: #json #malware #supply-chain #contagious-interview #nvso #threat-actor #security #codetrojano #delivery
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar