La campaña Contagious Interview, atribuida a actores vinculados con Corea del Norte, está entrando en una nueva fase al extender sus ataques a múltiples ecosistemas de desarrollo. De acuerdo con la empresa de seguridad Socket, los atacantes han comenzado a publicar paquetes maliciosos en Go, Rust y PHP, además de las plataformas ya utilizadas previamente, con el objetivo de comprometer la cadena de suministro de software y obtener acceso inicial a entornos de desarrollo corporativos.
Paquetes maliciosos en Go, Rust y PHP para comprometer desarrolladores
Según el investigador de Socket Kirill Boychenko, los operadores de Contagious Interview están subiendo paquetes que imitan herramientas legítimas para desarrolladores, como utilidades de registro (logging), gestión de licencias o librerías de apoyo. En apariencia ofrecen funcionalidades útiles, pero en realidad actúan como cargadores (loaders) de código malicioso, articulando una operación de ataque a la cadena de suministro que abarca distintos lenguajes y repositorios open source.
Una vez instalados, estos paquetes descargan una segunda fase: un módulo específico para cada plataforma con capacidades de infostealer y RAT (remote access trojan). Su foco principal son los datos almacenados en navegadores web, gestores de contraseñas y monederos de criptomonedas. Los equipos de desarrollo resultan especialmente atractivos porque, desde ellos, los atacantes pueden pivotar hacia la infraestructura interna de la organización, manipular código y afectar productos en producción.
Implantes avanzados en Windows: más que un simple infostealer
Destaca especialmente la variante para Windows distribuida mediante el paquete «license-utils-kit». Socket la describe como un implante post-explotación de propósito general, con capacidad para ejecutar comandos de shell, registrar pulsaciones de teclado (keylogging), robar datos de navegadores, subir y descargar archivos, forzar el cierre de procesos de navegador, desplegar AnyDesk para acceso remoto, crear archivos comprimidos cifrados e incorporar módulos adicionales bajo demanda.
Este nivel de funcionalidad sitúa la campaña en la misma categoría que otras operaciones avanzadas contra la cadena de suministro observadas en los últimos años (como SolarWinds o 3CX), donde el objetivo no es solo el robo puntual de credenciales, sino el establecimiento de un acceso persistente y silencioso en la red de la víctima.
Código malicioso oculto en funciones aparentemente legítimas
Uno de los aspectos más peligrosos de Contagious Interview es su mecanismo de activación. A diferencia de muchas campañas de paquetes maliciosos, el código no se ejecuta durante la instalación. En su lugar, se integra dentro de funciones que parecen coherentes con el propósito declarado de la librería, lo que dificulta su detección mediante análisis superficial.
En el caso del paquete de Rust «logtrace», el fragmento malicioso se esconde en el método Logger::trace(i32). Llamar a una función de trazado detallado de logs es un comportamiento completamente normal en una aplicación o en un pipeline de CI/CD. Esto reduce el ruido en los análisis estáticos, aumenta la probabilidad de ejecución en entornos reales y complica la identificación de la amenaza incluso para equipos de seguridad experimentados.
Vínculos con UNC1069 y compromiso de Axios mediante ingeniería social
Socket enmarca la expansión de Contagious Interview dentro de una estrategia más amplia de Corea del Norte contra la cadena de suministro de software. En esta misma campaña se incluye la comprometida del popular paquete npm Axios, a través del cual se distribuyó el implante WAVESHAPER.V2 tras el secuestro de la cuenta del mantenedor mediante ingeniería social dirigida.
Esta actividad se atribuye al actor financiero UNC1069, que se solapa con grupos conocidos como BlueNoroff, Sapphire Sleet y Stardust Chollima. Estas unidades combinan ciberespionaje y ciberdelincuencia para robar fondos y acceder a organizaciones financieras y tecnológicas, adaptando sus herramientas e infraestructura mientras mantienen patrones de comportamiento consistentes.
Dominios falsos de Zoom y Teams para campañas de ingeniería social
La organización Security Alliance (SEAL) informa de que, entre el 6 de febrero y el 7 de abril de 2026, fueron bloqueados 164 dominios vinculados a UNC1069 que imitaban servicios de videoconferencia como Microsoft Teams y Zoom. Los atacantes desarrollan campañas de ingeniería social de varias semanas a través de Telegram, LinkedIn y Slack, haciéndose pasar por contactos legítimos, marcas conocidas o cuentas previamente comprometidas.
En la fase final envían enlaces falsos a supuestas reuniones en Zoom o Teams. Dichos enlaces conducen a páginas señuelo similares a campañas como ClickFix, diseñadas para inducir al usuario a ejecutar malware. El implante resultante puede operar en Windows, macOS y Linux, conectándose a la infraestructura de mando y control para actividades de post-explotación. SEAL observa además que los operadores suelen dejar el implante en estado inactivo tras el acceso inicial, lo que prolonga el tiempo de permanencia indetectada y maximiza la cantidad de datos que pueden exfiltrar antes de que se inicie la respuesta al incidente.
Impacto para la seguridad de desarrolladores y organizaciones
Socket ha identificado desde enero de 2025 más de 1700 paquetes maliciosos relacionados con esta campaña, lo que evidencia una amenaza persistente, bien financiada y de alcance transversal para el ecosistema open source y la cadena de suministro de software. Microsoft confirma que los grupos financieros vinculados con Corea del Norte evolucionan constantemente sus tácticas, técnicas e infraestructura, reutilizando patrones como dominios que simulan organizaciones financieras estadounidenses o servicios de videoconferencia para potenciar su ingeniería social.
Recomendaciones clave para proteger la cadena de suministro de software
Para reducir la superficie de ataque de campañas como Contagious Interview, resulta esencial que las organizaciones adopten medidas estructurales de defensa:
– Utilizar espejos internos y repositorios privados, manteniendo una lista blanca de paquetes de confianza y controlando estrictamente la incorporación de nuevas dependencias.
– Fijar versiones y hashes de dependencias en lock-files y manifiestos de build para evitar actualizaciones transparentes hacia versiones comprometidas.
– Implementar herramientas de Software Composition Analysis (SCA) y análisis de comportamiento de librerías, no solo escáneres de licencias o vulnerabilidades conocidas.
– Segregar e endurecer los entornos de desarrollo y pipelines de CI/CD, aplicando el principio de mínimo privilegio y desplegando soluciones EDR/antivirus específicamente en estos nodos críticos.
– Habilitar autenticación multifactor (MFA) en cuentas de npm, GitHub y otras plataformas de desarrollo para dificultar el secuestro de cuentas de mantenedores.
– Formar a empleados y desarrolladores en detección de ingeniería social, verificando manualmente dominios de reuniones en Zoom/Teams y evitando ejecutar “parches” o “actualizaciones” procedentes de fuentes no verificadas.
La evolución de Contagious Interview confirma que los ataques a la cadena de suministro de software se han consolidado como una herramienta central para grupos estatales y actores financieros avanzados. Reforzar la gobernanza de dependencias, blindar los entornos de desarrollo y elevar el nivel de concienciación frente a la ingeniería social ya no es opcional. Las organizaciones que actúen de forma proactiva y sistemática tendrán muchas más probabilidades de evitar que una simple librería open source o una invitación a videollamada se conviertan en la puerta de entrada a toda su infraestructura.
