North Korea

Uma nova onda de ataques de cadeia de suprimentos, denominada “Contagious Interview”, foi identificada, envolvendo mais de 338 pacotes JavaScript maliciosos no registro npm, atribuídos a hackers norte-coreanos. Esses atacantes utilizam perfis falsos de recrutadores e dependências com nomes semelhantes para enganar desenvolvedores de Web3, blockchain e criptomoedas. A operação já acumulou mais de 50.000 downloads. Os ataques seguem um modelo repetível que se alinha ao modelo Lockheed Martin Cyber Kill Chain, começando com a pesquisa no LinkedIn e culminando na instalação de pacotes infectados. Um exemplo notável é o pacote chamado eslint-detector, que executa cargas úteis de roubo de informações durante a instalação. Os atacantes também utilizam técnicas de typosquatting para camuflar módulos maliciosos, imitando bibliotecas npm populares. Apesar de algumas contas de atacantes terem sido removidas, pelo menos 25 pacotes ainda estão ativos. Especialistas em segurança recomendam que os registros adotem defesas em camadas e que as equipes de desenvolvimento tratem cada instalação do npm como uma execução de código, implementando varreduras de segurança e bloqueando uploads de alto risco.

Um recente vazamento de dados, publicado na revista Phrack, revelou um conjunto de malware sofisticado para Linux, associado a um grupo de ameaças supostamente alinhado ao governo norte-coreano. O vazamento, que parece ter origem em uma violação da infraestrutura dos atacantes, expõe táticas operacionais avançadas utilizadas contra organizações governamentais e do setor privado da Coreia do Sul e Taiwan. O malware em questão é um rootkit baseado em um módulo de kernel carregável (LKM), projetado para evitar a detecção tradicional e garantir acesso persistente e oculto a sistemas Linux. Entre suas características estão a ocultação de módulos, evasão de processos e redes, e técnicas anti-forense que dificultam a reconstrução de atividades. Os pesquisadores de segurança alertam que as defesas tradicionais são insuficientes para detectar tais ameaças, e recomendam que, se um sistema for comprometido a nível de kernel, ele deve ser isolado e reconstruído imediatamente. Este incidente destaca a crescente sofisticação das operações ligadas ao estado norte-coreano, que utilizam técnicas de stealth em nível de kernel para infiltrar redes sem serem detectados.