Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Ким Чен Ын передаёт привет вашему криптокошельку. Краткий гид: как не спонсировать чужую ядерную программу

leer en español

Contagious Interview Socket npm PyPI GitHub Северная Корея вредоносные пакеты
Ким Чен Ын передаёт привет вашему криптокошельку. Краткий гид: как не спонсировать чужую ядерную программу
Contagious Interview Socket npm PyPI GitHub Северная Корея вредоносные пакеты

Изучаем ловушки, обманувшие даже самых бдительных специалистов.

image

Северокорейская кампания Contagious Interview вышла далеко за пределы привычных площадок и начала маскировать вредоносные пакеты сразу в нескольких экосистемах разработки. Под видом безобидных библиотек для логирования, лицензий и отладки злоумышленники распространяли загрузчики, которые незаметно подтягивали дополнительный вредоносный код. Новая волна показывает, что атака стала шире, изощрённее и опаснее для разработчиков, чем раньше.

Компания Socket сообщила, что связала с Contagious Interview уже более 1700 вредоносных пакетов, а новый кластер затронул npm, PyPI, Go Modules, crates.io и Packagist. Операторы использовали псевдонимы golangorg, aokisasakidev, aokisasakidev1, maxcointech1010 и maxcointech0000, а сами пакеты выдавали за обычные инструменты для журналирования, работы с HTTP и лицензиями. В реальности такие библиотеки служили загрузчиками для второй стадии атаки.

Большинство образцов работали по одной схеме. Пакет обращался к подконтрольной инфраструктуре, получал ссылку на архив, скачивал его, распаковывал во временную папку и запускал файл под нужную платформу. В npm-экосистеме схема отличалась: там вредоносные пакеты приходили в зашифрованном виде и выполнялись прямо в памяти процесса Node.js. За счёт такого подхода опасные действия прятались не в установке пакета, а в функциях, которые выглядели совершенно обычными — например, в методах логирования или поиска по ключу.

Главная цель кампании — кража данных. Анализ показал, что вредоносные модули собирали учётные данные, содержимое браузеров, менеджеров паролей и криптокошельков. Отдельно специалисты выделили пакет license-utils-kit для PyPI. В версии для Windows находился уже не просто загрузчик, а полноценный инструмент удалённого доступа с возможностью выполнять команды, перехватывать нажатия клавиш, собирать файлы, извлекать данные из браузеров и кошельков, а также разворачивать средства удалённого подключения.

Socket передала сведения о найденных пакетах администраторам затронутых реестров и отправила запросы на блокировку связанных учётных записей GitHub. Часть материалов уже удалили, но некоторые вредоносные пакеты на момент публикации ещё оставались доступными. По оценке компании, группа системно использует репозитории разработчиков как вектор первоначального доступа и быстро переносит один и тот же набор приёмов из одной экосистемы в другую с минимальными изменениями в коде.

Новая находка показывает, что атаки на цепочки поставок всё чаще строятся не на грубой маскировке, а на правдоподобных деталях. Вредоносный код прячут в пакетах, которые выглядят как привычные утилиты, а опасная активность начинается только после вызова на первый взгляд обычной функции. Для разработчиков и команд безопасности такой подход делает проверку зависимостей ещё более критичной задачей.