Các tác nhân đe dọa từ Triều Tiên đứng sau chiến dịch Contagious Interview một lần nữa đã điều chỉnh chiến thuật của họ bằng cách sử dụng các dịch vụ lưu trữ JSON để dàn dựng các payload độc hại.
Các tác nhân đe dọa gần đây đã sử dụng các dịch vụ lưu trữ JSON như JSON Keeper, JSONsilo và npoint.io để lưu trữ và phân phối malware từ các dự án mã hóa bị trojan hóa, với mồi nhử. Các nhà nghiên cứu NVISO Bart Parys, Stef Collart và Efstratios Lontzetidis cho biết trong một báo cáo vào thứ Năm.
Chiến dịch này về cơ bản bao gồm việc tiếp cận các mục tiêu tiềm năng trên các trang mạng xã hội chuyên nghiệp như LinkedIn, với lý do thực hiện đánh giá công việc hoặc hợp tác trong một dự án, theo đó họ được hướng dẫn tải xuống một dự án demo được lưu trữ trên các nền tảng như GitHub, GitLab hoặc Bitbucket.
Trong một dự án như vậy được NVISO phát hiện, người ta đã tìm thấy một tệp có tên "server/config/.config.env" chứa một giá trị Base64-encoded giả dạng một API key, nhưng trên thực tế, đó là một URL đến một dịch vụ lưu trữ JSON như JSON Keeper, nơi payload giai đoạn tiếp theo được lưu trữ ở định dạng obfuscated.
Payload là một JavaScript malware được gọi là BeaverTail, có khả năng thu thập dữ liệu nhạy cảm và thả một Python backdoor có tên InvisibleFerret. Mặc dù chức năng của backdoor vẫn không thay đổi đáng kể so với lần được ghi nhận lần đầu bởi Palo Alto Networks vào cuối năm 2023, một thay đổi đáng chú ý liên quan đến việc lấy một payload bổ sung được gọi là TsunamiKit từ Pastebin.
Điều đáng chú ý là việc sử dụng TsunamiKit như một phần của chiến dịch Contagious Interview đã được nhấn mạnh bởi ESET vào tháng 9 năm 2025, với các cuộc tấn công cũng thả các backdoor Tropidoor và AkdoorTea. Toolkit này có khả năng system fingerprinting, thu thập dữ liệu và lấy thêm payload từ một địa chỉ .onion được hard-coded hiện đang offline.
"Rõ ràng là các tác nhân đứng sau Contagious Interview không hề chậm trễ và đang cố gắng giăng một cái bẫy rất rộng để thỏa hiệp bất kỳ nhà phát triển (phần mềm) nào mà họ thấy thú vị, dẫn đến việc exfiltration dữ liệu nhạy cảm và thông tin ví crypto," các nhà nghiên cứu kết luận.
"Việc sử dụng các trang web hợp pháp như JSON Keeper, JSON Silo và npoint.io, cùng với các kho lưu trữ mã nguồn như GitLab và GitHub, nhấn mạnh động cơ và những nỗ lực bền bỉ của tác nhân này nhằm hoạt động lén lút và hòa mình vào lưu lượng truy cập thông thường."
