Uma nova investigação da NVISO revelou uma campanha de malware chamada “Contagious Interview”, associada a atores de ameaças alinhados à Coreia do Norte. Essa campanha utiliza serviços legítimos de armazenamento JSON, como JSON Keeper e JSONsilo, para distribuir malware a partir de repositórios de código comprometidos. O ataque se concentra em desenvolvedores de software, especialmente nos setores de criptomoedas e Web3, que são abordados por recrutadores falsos em plataformas profissionais como o LinkedIn. Os desenvolvedores são induzidos a baixar projetos de demonstração de repositórios como GitLab ou GitHub, que, embora pareçam funcionais, contêm arquivos de configuração maliciosos. Esses arquivos, ao serem decodificados, revelam URLs que carregam scripts JavaScript ofuscados, levando à instalação de um infostealer chamado BeaverTail, que coleta dados sensíveis. A segunda fase do ataque envolve um RAT modular chamado InvisibleFerret, que busca componentes adicionais em Pastebin. A NVISO alerta que os desenvolvedores devem ser cautelosos ao executar códigos de entrevistas não solicitadas e tratar variáveis de configuração como potenciais vetores de infecção.
Fonte: https://cyberpress.org/exploiting-code-hosting-platforms/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
13/11/2025 • Risco: ALTO
MALWARE
Exploração de Plataformas de Código para Entregar Malware
RESUMO EXECUTIVO
A campanha 'Contagious Interview' representa uma ameaça significativa para desenvolvedores no Brasil, utilizando técnicas de engenharia social e malware sofisticado. A exploração de repositórios de código e serviços de armazenamento legítimos para disseminar malware destaca a necessidade urgente de vigilância e proteção em ambientes de desenvolvimento.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras significativas devido ao roubo de dados e interrupções operacionais.
Operacional
Roubo de dados sensíveis, incluindo credenciais de carteiras de criptomoedas.
Setores vulneráveis
['Tecnologia', 'Finanças', 'Criptomoedas']
📊 INDICADORES CHAVE
Campanha identificada desde 2023.
Indicador
BeaverTail coleta dados de navegadores e credenciais de carteiras.
Contexto BR
InvisibleFerret busca até 1.000 URLs do Pastebin.
Urgência
⚡ AÇÕES IMEDIATAS
1
Revisar e monitorar repositórios de código utilizados por desenvolvedores.
2
Implementar políticas de segurança que proíbam a execução de códigos de fontes não verificadas.
3
Monitorar atividades suspeitas em sistemas de desenvolvedores e em serviços de armazenamento JSON.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de seus desenvolvedores e a proteção de dados sensíveis, especialmente em um cenário onde ataques direcionados estão se tornando mais comuns.
⚖️ COMPLIANCE
Implicações legais relacionadas à LGPD e proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
