Hackers norte-coreanos usam novo vírus para roubar dados de funcionários de TI; entenda

Hackers da Coreia do Norte estão usando novos tipos de vírus em ataques cibernéticos contra trabalhadores de TI (tecnologia da informação) para roubar dados, carteiras de criptomoedas e credenciais.

As informações foram publicadas na quinta-feira (17) pelo site de notícias norte-americano NK News, com base em um relatório da empresa de cibersegurança Socket, dos Estados Unidos.

A campanha de ataque, batizada de Contagious Interview (Entrevista Contagiosa), começou em abril deste ano e ganhou força em junho, segundo a Socket.

Os hackers se passam por recrutadores no LinkedIn, oferecendo oportunidades de emprego aparentemente legítimas para desenvolvedores de software.

Durante o processo de “entrevista”, os alvos recebem tarefas que, na verdade, contêm pacotes maliciosos disfarçados de arquivos de trabalho.

Esses pacotes são enviados ao npm Registry, uma plataforma amplamente usada por desenvolvedores para compartilhar códigos JavaScript. O npm, mantido pela npm Inc., uma subsidiária do GitHub, hospeda mais de 2 milhões de pacotes de código.

Os criminosos aproveitam essa popularidade para distribuir malwares, comprometendo não apenas o desenvolvedor inicial, mas também outros usuários que utilizam esses pacotes em seus projetos, em um tipo de ataque conhecido como ataque à cadeia de suprimentos.

Novos malwares em ação

De acordo com o relatório, os hackers norte-coreanos introduziram 67 novos pacotes maliciosos no npm Registry, que juntos foram baixados mais de 17.000 vezes por diferentes usuários.

Desses 67, 39 pacotes utilizam o malware HexEval, já conhecido, e outros 28 implantaram um novo carregador chamado XORIndex, que é mais difícil de detectar por usar técnicas avançadas de ofuscação, como codificação XOR e manipulação de índices.

O XORIndex coleta informações do computador infectado, como nome do host, nome de usuário, endereço IP, tipo de sistema operacional e geolocalização, enviando esses dados para servidores de comando e controle hospedados em plataformas legítimas.

Após isso, o malware ativa o BeaverTail, um programa que rouba dados de navegadores, chaves do macOS (sistema dos computadores da Apple) e carteiras de criptomoedas. Por fim, o InvisibleFerret, um backdoor de terceiro estágio, garante acesso contínuo aos sistemas comprometidos.

Persistência dos hackers

Os pesquisadores da Socket dizem que, mesmo após a identificação e remoção de pacotes maliciosos, os criminosos rapidamente publicam novas versões com pequenas alterações para escapar das defesas.

Dos 67 pacotes identificados, 27 ainda estavam ativos no momento até quinta-feira, apesar dos esforços para denunciá-los.

A campanha é atribuída ao grupo norte-coreano Lazarus Group, conhecido por ataques sofisticados.

Segundo a Socket, os hackers têm como alvo principal a infiltração em cadeias de suprimentos de software e o roubo de criptomoedas e credenciais, muitas vezes para gerar renda ilícita.

Eles utilizam táticas como nomes de pacotes semelhantes aos legítimos (como vite- ou -log) e rotacionam contas e e-mails no npm para evitar detecção.

Por que isso é preocupante?

Os ataques à cadeia de suprimentos são especialmente perigosos porque afetam não apenas a vítima inicial, mas todos os usuários que utilizam o código comprometido. Além disso, o XORIndex é compatível com Windows, macOS e Linux – ou seja, tem grande alcance.

Os pesquisadores alertam que a campanha Contagious Interview não mostra sinais de desaceleração. Eles preveem o surgimento de novos pacotes maliciosos e a evolução do XORIndex e HexEval, com técnicas ainda mais evasivas.

A Socket recomenda que empresas e desenvolvedores reforcem a segurança, verificando a origem dos pacotes npm e monitorando atividades suspeitas nos sistemas.

Fique por dentro das principais notícias do dia no Brasil e no mundo. Siga o canal do R7, o portal de notícias da Record, no WhatsApp