Северокорейская кампания Contagious Interview выходит на новый уровень: по данным компании Socket, злоумышленники начали публиковать вредоносные пакеты сразу в нескольких экосистемах — Go, Rust и PHP, дополняя уже задействованные ранее платформы. Целью остаётся компрометация цепочки поставок ПО и получение начального доступа к средам разработки для последующей шпионской и финансово мотивированной активности.
Расширение атак Contagious Interview на Go, Rust и PHP
Исследователь Socket Кирилл Бойченко сообщил, что злоумышленники размещают пакеты, которые имитируют легитимные инструменты разработчика — утилиты логирования, работы с лицензиями, вспомогательные библиотеки. Под видом полезного функционала эти пакеты фактически выступают загрузчиками вредоносного кода, формируя кросс-экосистемную операцию по атаке цепочки поставок.
После установки такие загрузчики подтягивают вторую стадию — платформозависимый модуль с функциями инфостилера и RAT (remote access trojan). Основные цели: данные из веб-браузеров, менеджеров паролей и криптовалютных кошельков. Это делает разработческие машины привлекательным плацдармом для дальнейшего продвижения в корпоративную инфраструктуру.
Особо выделяется версия вредоносного ПО для Windows, распространяемая через пакет «license-utils-kit». Socket характеризует её как полноценный постэксплуатационный имплант, способный выполнять команды оболочки, вести кейлоггинг, красть данные браузеров, загружать и выгружать файлы, принудительно завершать процессы браузеров, развертывать AnyDesk для удалённого доступа, создавать зашифрованные архивы и подгружать дополнительные модули. Такой уровень функциональности выводит кампанию за рамки «простого» инфостилера и превращает её в мощный инструмент долгосрочного присутствия в сети.
Скрытый вредоносный код в обычных функциях библиотек
Один из наиболее опасных аспектов этой волны атак — способ активации вредоносной логики. Код не срабатывает при установке пакета, как это часто бывает при классических атаках на цепочку поставок. Вместо этого он внедрён в на вид безобидные функции, которые соответствуют заявленному назначению библиотеки.
Так, в случае Rust-пакета «logtrace» вредоносный фрагмент скрыт внутри метода Logger::trace(i32). Вызов подобной функции для детализированного логирования выглядит абсолютно естественно и не вызывает подозрений у разработчиков. Такой подход усложняет статический анализ и повышает вероятность того, что вредоносный код будет исполняться в реальных приложениях и CI/CD-пайплайнах без какого-либо «шумного» поведения на этапе установки.
Часть более широкой кампании КНДР против цепочки поставок ПО
Socket связывает расширение Contagious Interview с более масштабной программой атак на цепочку поставок программного обеспечения, проводимой северокорейскими группировками. В эту же картину вписывается компрометация популярного npm-пакета Axios, через который распространялся имплант WAVESHAPER.V2 после захвата учётной записи его сопровождающего с помощью таргетированной социальной инженерии.
Эта активность приписывается финансово мотивированному актору UNC1069, который, по оценке исследователей, пересекается с известными группами BlueNoroff, Sapphire Sleet и Stardust Chollima. Они специализируются на атаках с целью хищения средств и получения доступа к финансовым и технологическим организациям, сочетая кибершпионаж и киберпреступность.
Социальная инженерия через Zoom, Microsoft Teams и мессенджеры
По данным Security Alliance (SEAL), за период с 6 февраля по 7 апреля 2026 года было заблокировано 164 домена, связанных с UNC1069 и имитировавших популярные сервисы видеоконференций, в том числе Microsoft Teams и Zoom. Акторы выстраивают многонедельные «мягкие» кампании социальной инженерии через Telegram, LinkedIn и Slack, выступая от имени реальных контактов, известных брендов или используя ранее скомпрометированные аккаунты.
Финальной стадией становится отправка поддельной ссылки на встречу в Zoom или Teams. Эти ссылки ведут на страницы с приманками, похожими на известные схемы наподобие ClickFix, побуждая пользователя выполнить действия, приводящие к запуску вредоносного ПО. Заражённый имплант подключается к серверу злоумышленников и обеспечивает постэксплуатационную активность на Windows, macOS и Linux.
По наблюдениям SEAL, операторы намеренно не активны сразу после первичного доступа. Имплант оставляют в дремлющем или пассивном состоянии, а жертва, полагая, что встреча просто «сорвалась», переносит её и продолжает работать как обычно. Такая выдержка увеличивает время незаметного присутствия атакующих в инфраструктуре и позволяет максимизировать объём похищаемых данных до начала реагирования на инцидент.
Последствия для безопасности разработчиков и организаций
Socket сообщает, что с начала января 2025 года выявлено более 1700 вредоносных пакетов, связанных с этой активностью. Масштаб и кросс-экосистемный характер кампании демонстрируют, что речь идёт о хорошо финансируемой и настойчивой угрозе для всей экосистемы open source и цепочек поставок ПО.
Представители Microsoft подтверждают эволюцию инструментов и инфраструктуры финансово мотивированных группировок КНДР. По словам Sherrod DeGrippo, генерального директора по анализу угроз в Microsoft, акторы, связанные с КНДР, постоянно меняют тактику, инструменты и инфраструктуру, сохраняя при этом единые цели и модели поведения, включая использование доменов, маскирующихся под американские финансовые организации и сервисы видеоконференций, для социальной инженерии.
Рекомендации по защите цепочки поставок и пользователей
Для снижения рисков атак типа Contagious Interview организациям и разработчикам целесообразно:
– применять внутренние зеркала и приватные репозитории, формируя allow-list доверенных пакетов и жёстко контролируя добавление новых зависимостей;
– закреплять версии и хэши зависимостей в lock-файлах и манифестах сборки, чтобы предотвратить незаметное обновление на вредоносную версию;
– использовать инструменты анализа состава ПО (SCA) и поведенческого анализа библиотек, а не ограничиваться лишь проверкой лицензий и уязвимостей;
– изолировать и минимизировать права CI/CD-пайплайнов и рабочих станций разработчиков, разворачивать EDR/антивирусные решения именно на этих узлах;
– вводить многофакторную аутентификацию для аккаунтов в npm, GitHub и других платформах, чтобы усложнить захват учётных записей сопровождения пакетов;
– обучать сотрудников распознаванию атак социальной инженерии: внимательно относиться к приглашениям в Zoom/Teams, проверять домены вручную, не запускать «фиксы» и «обновления» из непроверенных источников.
Появление и расширение кампании Contagious Interview показывает, что атаки на цепочку поставок ПО стали одним из ключевых инструментов государственно поддерживаемых и финансово мотивированных группировок. Организациям стоит пересмотреть свои подходы к управлению зависимостями, безопасности разработческих сред и обучению сотрудников. Чем раньше в компаниях начнут системно выстраивать защиту цепочки поставок, тем сложнее будет злоумышленникам превратить обычные библиотеки и встречи в видеочате в точку входа в инфраструктуру.
