197 virus en npm y una cámara "averiada": hackers atacan a desarrolladores por todos los frentes

La campaña de malware norcoreana Contagious Interview sigue aumentando la presión sobre el ecosistema de desarrollo JavaScript. Integrantes de grupos de hackers de Corea del Norte suben masivamente paquetes maliciosos al repositorio npm, ocultando la difusión de software espía bajo herramientas legítimas y materiales para "tareas de prueba" en entrevistas.

Según la empresa Socket, en el último periodo los atacantes añadieron a npm otros 197 paquetes maliciosos, que en conjunto se descargaron más de 31.000 veces. Estos componentes distribuyen una variante actualizada del malware OtterCookie, que combina capacidades de versiones anteriores de OtterCookie y de la familia BeaverTail. Entre los instaladores detectados están bcryptjs-node, cross-sessions, json-oauth, node-tailwind, react-adparser, session-keeper, tailwind-magic, tailwindcss-forms y webpack-loadcss.

Al ejecutarse, dicho paquete comprueba si no está funcionando en un entorno aislado o en una máquina virtual, recopila información del sistema e instala un canal de mando y control con un servidor de comandos. A través de ese canal los operadores obtienen acceso remoto al dispositivo, pueden interceptar el portapapeles, registrar pulsaciones de teclas, hacer capturas de pantalla, así como extraer del navegador credenciales, documentos, datos de carteras criptográficas y frases semilla.

Especialistas de Cisco Talos ya habían observado que los límites entre OtterCookie y BeaverTail se difuminan, por ejemplo en una infección de la red de una organización de Sri Lanka mediante una aplicación Node.js falsa relacionada con una entrevista falsa. La actual ola de paquetes está configurada para conectarse a una dirección fija en la plataforma Vercel — «tetrismic.vercel[.]app». Desde allí se descarga un archivo binario multiplataforma de OtterCookie alojado en un repositorio en GitHub.

La cuenta usada para la entrega, stardev0914, ya no está disponible; sin embargo, la infraestructura de la campaña sigue cambiando y actualizándose. Analistas, entre ellos Kirill Boichenko, señalan que los integrantes del grupo adaptan con rapidez sus herramientas a proyectos modernos de JavaScript y al desarrollo relacionado con criptomonedas.

Paralelamente se desarrolla una actividad relacionada llamada ClickFake Interview. En su marco se crean sitios falsos con "tareas de evaluación", donde bajo la apariencia de instrucciones al estilo ClickFix se solicita "arreglar" una cámara web o un micrófono. En realidad a la víctima se le fuerza a descargar el malware GolangGhost (también conocido como FlexibleFerret o WeaselStore), escrito en Go.

El programa se conecta a un servidor de comando fijo, procesa continuamente las órdenes de los operadores, recopila información del sistema, ejecuta comandos, gestiona archivos y extrae datos de Google Chrome. La persistencia en macOS se logra mediante un LaunchAgent que ejecuta un script shell al iniciar la sesión del usuario.

En la cadena de infección también se utiliza una aplicación distractora: muestra una ventana falsa solicitando permiso de acceso a la cámara en nombre de Chrome y, a continuación, una ventana "tipo Chrome" para introducir la contraseña. Los datos ingresados se envían inmediatamente a la cuenta de Dropbox del atacante, sin que el usuario lo note.

Representantes de la empresa Validin señalan que, a diferencia de otros esquemas de Corea del Norte en los que el foco está en contratar suplantando identidades ajenas en empresas legítimas, Contagious Interview y ClickFake Interview buscan comprometer a candidatos mediante procesos de reclutamiento escenificados, tareas ficticias y plataformas de contratación falsas.