В последние месяцы мир информационной безопасности наблюдает рост активности северокорейских хакеров, нацеленных на сообщества разработчиков через популярные платформы с открытым исходным кодом, в частности npm-регистри. Эти действия стали частью продолжающейся кампании, известной под кодовым названием Contagious Interview, целью которой является заразить экосистему JavaScript через вредоносные пакеты с новым и сложным ПО. В июле 2025 года исследователями было выявлено более 67 новых пакетов, содержащих черты ранее не фиксированного вредоносного загрузчика под названием XORIndex. Данные пакеты привлекли более 17 тысяч загрузок, что демонстрирует степень проникновения данной угрозы в профессиональную среду разработчиков. Контекст атаки связан с расширением предыдущей волны, выявленной месяцем ранее, когда злоумышленники распространяли 35 пакетов с вредоносным загрузчиком HexEval.
Такая тактика, согласно экспертам по безопасности из компании Socket, указывает на динамику «кота мышка», когда атаки быстро адаптируются в ответ на оперативное обнаружение и удаление ими вредоносных компонентов из реестра npm. Северокорейские хакеры регулярно обновляют свои методы, создавая новые вариации одинаковых по функционалу загрузчиков и вредоносного кода, что затрудняет защиту и мониторинг. Кампания Contagious Interview специализируется на завлечении разработчиков, якобы предлагая им выполнить учебное задание, связанное с открытым программным обеспечением. Это используется как приманка для того, чтобы пользователи загрузили и запустили опасный код на своих рабочих машинах. Такая стратегия враждебной экспансии целенаправленно ориентирована на уже работающих IT-специалистов компаний, представляющих интерес для Северной Кореи, отличаясь от традиционного метода подбора персонала посредством фальшивых вакансий.
Вредоносное ПО, распространенное через npm, служит каналом для внедрения JavaScript-загрузчика и стриппера BeaverTail. Последний используется хакерами для сбора информации из веб-браузеров, в том числе данных криптовалютных кошельков, а также для развертывания на скомпрометированных компьютерах Python-бэкдора с названием InvisibleFerret. Совместное функционирование этих компонентов позволяет злоумышленникам получать контроль над устройствами, похищать конфиденциальные данные и выполнять дальнейшие атаки. Статистика загрузок новых вредоносных пакетов также свидетельствует о масштабе операции. XORIndex загрузили более 9000 раз за короткий период с июня по июль 2025 года.
Параллельно офисные системы продолжают сталкиваться с атаками через HexEval, у которого более 8000 загрузок в рамках недавно обнаруженных пакетов. Такая двойная экспансия демонстрирует повышенный уровень координации и постоянное усовершенствование инструментов атакующих. Технический анализ загрузчика XORIndex показал его значительный эволюционный путь — от примитивных прототипов без обфускации и ограниченной функциональности к сложным, более скрытным версиям. Кроме основной задачи — профилировать зараженную машину и собирать информацию об IP-адресах через встроенные команды управления и контроля, новые поколения XORIndex обладают элементарными возможностями для системного разведведения, что значительно усложняет обнаружение вредоносного ПО. Эксперты отмечают, что данный атакующий кластер, работающий под разными именами, такими как DeceptiveDevelopment, Famous Chollima, Gwisin Gang и другими, продолжит разнообразить свой набор инструментов.
Регулярное создание новых поддельных аккаунтов npm-мастеров, перепрофилирование существующих загрузчиков, а также активное внедрение таких семейств вредоносных программ, как BeaverTail и InvisibleFerret, указывает на долгосрочную стратегию эксплуатации уязвимостей в цепочке поставок программного обеспечения. Помимо северокорейской угрозы, киберпреступные группы из России также усугубляют ситуацию. Они внедряют вредоносные пакеты в npm, обеспечивающие компрометацию Windows-систем через PowerShell-скрипты, загружающие стриперы и программы для майнинга криптовалют. Более того, мошенники манипулируют метриками загрузок и рейтингами, искусственно создавая видимость миллионов загрузок своих вредоносных пакетов, что повышает доверие к ним и увеличивает вероятность заражения конечных пользователей и организаций. Для сообщества разработчиков и компаний ключевым вопросом становится повышение уровня безопасности при работе с открытыми репозиториями.
Необходим комплексный подход — регулярное сканирование внешних зависимостей и пакетов, использование современных средств мониторинга и обнаружения вредоносного поведения, а также усиление осведомленности о возможных угрозах в цепочках поставок ПО. Важно также внедрение многоуровневых систем контроля и верификации пакетов, которые помогут блокировать даже те угрозы, которые меняют свои признаки и оттачивают методы маскировки. Активность северокорейских хакеров служит напоминанием о непрекращающейся необходимости строгого контроля безопасности в условиях развития технологий и все большей зависимости бизнеса и отдельных специалистов от открытых проектов. Вредоносные кампании, использующие уязвимости npm и других подобных реестров, представляют собой серьезную опасность для целостности и конфиденциальности данных, требуют пристального внимания со стороны специалистов в области кибербезопасности и разработчиков со всего мира. Поддержание безопасности в экосистемах с открытым исходным кодом становится одним из приоритетов глобального масштаба.
Разработчики должны осторожно подходить к выбору сторонних компонентов и библиотек, регулярно обновлять и проверять интегрируемый код. В условиях, когда злоумышленники используют новые методы атаки и постоянную эволюцию вредоносного ПО, только комплексные меры и ответственное отношение к безопасности смогут снизить риски и предотвратить масштабные инциденты. Таким образом, растущая угроза от кампании Contagious Interview и связанных с ней вредоносных загрузчиков, включая XORIndex и HexEval, демонстрирует, насколько важна проактивная позиция в вопросах информационной безопасности при разработке и использовании открытого программного обеспечения. Усиление контроля, сотрудничество между специалистами и постоянное совершенствование инструментов выявления угроз помогут защитить цифровую инфраструктуру и сохранить доверие к экосистемам, формирующим будущее IT-индустрии.
