Кампанія Contagious Interview, яку пов’язують з північнокорейськими угрупованнями, виходить за межі окремих мов програмування й перетворюється на масштабну операцію проти ланцюга постачання програмного забезпечення. За даними компанії Socket, зловмисники паралельно атакують одразу кілька екосистем — Go, Rust, PHP та вже відомі раніше платформи, прагнучи отримати початковий доступ до середовищ розробки й далі розвивати шпигунську та фінансово мотивовану активність.
Шкідливі пакети в Go, Rust і PHP: імітація легітимних інструментів
За спостереженнями дослідників Socket, атакувальники публікують пакети, які виглядають як звичайні утиліти для розробників: бібліотеки логування, роботи з ліцензіями, допоміжні модулі. Формально вони виконують заявлений функціонал, однак фактично виступають завантажувачами (loader) для подальших шкідливих компонентів. Це створює крос-екосистемну атаку на ланцюг постачання open source ПЗ.
Після встановлення «безпечний» на вигляд пакет завантажує другу стадію — платформозалежний модуль із функціями інфостилера та RAT (remote access trojan). Такий модуль орієнтований на викрадення даних з веббраузерів, менеджерів паролів і криптогаманців. Компрометація робочих станцій розробників відкриває зловмисникам шлях углиб корпоративної інфраструктури, до виходу на середовища збірки, CI/CD та продакшн-системи.
Найбільш розвинений варіант описано для Windows-пристроїв — через пакет “license-utils-kit”. Socket класифікує його як повноцінний постексплуатаційний імплант: він уміє виконувати команди оболонки, вести кейлогінг, викрадати дані браузерів, завантажувати й вивантажувати файли, примусово завершувати процеси браузерів, розгортати AnyDesk для віддаленого доступу, створювати зашифровані архіви та підтягувати додаткові модулі. Така глибина контролю наближає його до інструментів тривалого прихованого доступу (APT), а не до простих інфостилерів.
Прихований код у звичайних функціях: чому класичний аналіз не спрацьовує
Один з найнебезпечніших аспектів Contagious Interview — спосіб активації шкідливої логіки. Код не виконується під час встановлення пакета, як у багатьох популярних атаках на ланцюг постачання ПЗ. Натомість він вбудований у на вигляд типові функції бібліотек, які очікувано викликаються в реальних застосунках.
У випадку Rust-пакета “logtrace” шкідливий фрагмент приховано всередині методу Logger::trace(i32). Виклик такої функції для детального логування виглядає цілком природно і не викликає підозр у розробників. Подібний підхід ускладнює статичний аналіз і підвищує ймовірність того, що шкідливий код буде виконано в CI/CD-пайплайнах і бойових сервісах без будь-якої «шумної» активності на етапі інсталяції.
Частина ширшої програми атак КНДР на ланцюг постачання ПЗ
Socket пов’язує розширення Contagious Interview з тривалою кампанією атак на ланцюг постачання ПЗ, яку проводять фінансово мотивовані групи, асоційовані з КНДР. У цю ж картину вписується компрометація популярного npm-пакета Axios, через який поширювався імплант WAVESHAPER.V2 після захоплення облікового запису мейнтейнера за допомогою таргетованої соціальної інженерії.
Цю активність відносять до групи UNC1069, яку дослідники пов’язують з угрупованнями BlueNoroff, Sapphire Sleet та Stardust Chollima. Вони спеціалізуються на поєднанні кібершпигунства та фінансових атак: викрадення коштів, доступ до фінансових і технологічних організацій, маніпуляції з криптоактивами.
Соціальна інженерія: підроблені зустрічі в Zoom та Microsoft Teams
За інформацією Security Alliance (SEAL), у період з 6 лютого по 7 квітня 2026 року було заблоковано 164 домени, пов’язані з UNC1069 і такими, що маскувалися під сервіси відеоконференцій на кшталт Microsoft Teams і Zoom. Зловмисники проводять «м’які» багатотижневі кампанії через Telegram, LinkedIn і Slack, виступаючи від імені реальних контактів, відомих брендів або використовуючи раніше скомпрометовані акаунти.
На фінальному етапі жертві надсилають підроблене посилання на зустріч. Воно веде на сторінки з приманками, схожими на відомі схеми типу ClickFix, які стимулюють користувача виконати дії, що запускають шкідливе ПЗ. Завантажений імплант підключається до серверів управління зловмисників і забезпечує постексплуатаційну активність у Windows, macOS і Linux.
SEAL відзначає, що оператори часто не проявляють активності одразу після первинного доступу. Імплант залишається в пасивному або «сплячому» стані, тоді як користувач вважає, що зустріч просто не відбулася й продовжує роботу. Така тактика підвищує тривалість непоміченої присутності атакувальників в інфраструктурі та дозволяє максимізувати обсяг викрадених даних перед тим, як компанія виявить інцидент.
Ризики для розробників і організацій та практичні кроки захисту
Socket повідомляє, що з початку січня 2025 року виявлено вже понад 1700 шкідливих пакетів, пов’язаних з цією активністю. Масштаб, кросплатформенність та орієнтація на розробницькі інструменти демонструють, що йдеться про наполегливу й добре профінансовану загрозу для всієї open source-екосистеми.
Представники Microsoft підтверджують еволюцію інструментів і інфраструктури північнокорейських акторів. За словами керівництва підрозділу аналізу загроз Microsoft, групи, пов’язані з КНДР, постійно змінюють тактики, техніки та інструменти, але зберігають однакові цілі: компрометація ланцюга постачання ПЗ, маскування під фінансові установи США та сервіси відеоконференцій, активне використання соціальної інженерії.
Щоб знизити ризики атак на кшталт Contagious Interview, організаціям і командам розробки доцільно:
– застосовувати внутрішні дзеркала й приватні реєстри, формувати allow-list довірених пакетів і жорстко контролювати додавання нових залежностей;
– фіксувати версії та хеші залежностей у lock-файлах і маніфестах збірки, запобігаючи непомітному оновленню до шкідливої версії;
– використовувати не лише SCA-аналіз складу ПЗ, а й інструменти поведенкового аналізу бібліотек у середовищах розробки та CI/CD;
– мінімізувати привілеї пайплайнів і робочих станцій розробників, розгортати на них EDR/антивірус і застосовувати принцип найменших повноважень;
– увімкнути багатофакторну автентифікацію для облікових записів npm, GitHub та інших платформ, ускладнюючи захоплення акаунтів мейнтейнерів;
– системно навчати співробітників розпізнавати соціальну інженерію: перевіряти домени в запрошеннях на Zoom/Teams, не запускати «виправлення» чи «оновлення» з неперевірених джерел.
Contagious Interview наочно демонструє, що атаки на ланцюг постачання програмного забезпечення стають одним із базових інструментів як державних, так і фінансово мотивованих угруповань. Чим раніше організації вибудують контроль над залежностями, посилять безпеку середовищ розробки та підвищать обізнаність співробітників, тим складніше буде зловмисникам перетворити звичайну бібліотеку або запрошення на онлайн-зустріч на точку входу до критичної інфраструктури.
