Um grupo de cibercriminosos ligado ao governo da Coreia do Norte está adotando novas estratégias para distribuir malware, utilizando serviços legítimos de armazenamento de dados JSON como JSON Keeper, JSONsilo e npoint.io. A descoberta foi feita por pesquisadores da NVISO, que batizaram a campanha como Contagious Interview.
O ataque começa com abordagens a profissionais de tecnologia em plataformas como o LinkedIn, onde os alvos são contatados sob o pretexto de oportunidades de trabalho ou projetos colaborativos. Após o contato inicial, a vítima recebe links para repositórios públicos, como GitHub ou GitLab, contendo um suposto código de demonstração. No entanto, dentro desses arquivos há comandos ocultos que redirecionam o sistema para URLs armazenadas em serviços JSON. Esses serviços hospedam cargas maliciosas que ativam uma cadeia de infecção.
Entre os malwares identificados estão o BeaverTail, um script em JavaScript voltado à coleta de informações sensíveis, e o InvisibleFerret, um backdoor em Python com funções de persistência e controle remoto. Em algumas variantes, o malware também busca outros componentes externos, como o TsunamiKit, armazenado em plataformas como o Pastebin. A técnica de ocultar partes críticas do ataque em serviços legítimos dificulta a detecção por ferramentas de segurança tradicionais, já que o tráfego gerado se mistura com atividades comuns de desenvolvedores.
