Pesquisadores da Socket descobriram uma nova ofensiva do grupo norte-coreano Lazarus, que está disseminando o malware BeaverTail e um novo loader de trojan de acesso remoto (RAT) por meio de 11 pacotes maliciosos publicados no repositório npm. Essa atividade faz parte da campanha “Contagious Interview”, conhecida por se disfarçar de processos seletivos para atacar desenvolvedores.

Entre os pacotes identificados estão: dev-debugger-vite, icloud-cod, consolidate-log, events-utils, entre outros, que juntos somaram mais de 5.600 downloads antes de serem removidos. Os pacotes utilizam codificação hexadecimal para escapar de mecanismos automatizados de detecção e auditorias manuais. Alguns pacotes redirecionavam para repositórios no Bitbucket, e não no GitHub, como é mais comum.

Em particular, o pacote icloud-cod estava dentro de um diretório chamado eiwork_hire, reforçando o uso do tema de contratação como isca. Esses pacotes contêm código capaz de baixar e executar JavaScript remotamente via eval(), funcionando como loaders de malware que podem ativar qualquer carga adicional a partir de servidores de comando e controle (C2). Um dos C2 usados foi anteriormente ligado ao Lazarus em campanhas anteriores. Essa nova onda mostra a persistência e sofisticação do grupo Lazarus, que continua a expandir sua presença em cadeias de suprimento de software, distribuindo malwares por meio de pacotes disfarçados e engenharia social.