По данным исследователей кибербезопасности, группа угроз, связанная с Северной Кореей, реализует масштабную операцию, направленную на компрометацию цепочек поставок программного обеспечения и инфраструктуры разработчиков. С начала 2025 года выявлено более 1700 вредоносных пакетов, распространяемых через экосистемы с открытым исходным кодом, включая npm, Go, Rust и PHP.
Операция, получившая название Contagious Interview, основана на внедрении вредоносного кода в легитимные на вид инструменты разработки. В частности, зафиксирован случай компрометации аккаунта сопровождающего популярный пакет с последующим распространением вредоносного импланта. Кампания связывается с кластером UNC1069, который, по данным источника, пересекается с известными северокорейскими группами, такими как BlueNoroff и Stardust Chollima.
Ключевым элементом атак остаётся социальная инженерия: злоумышленники используют поддельные ссылки на видеоконференции, имитирующие сервисы Microsoft Teams и Zoom, а также распространяют их через Telegram, LinkedIn и Slack. Жертвами становятся разработчики и сотрудники компаний, которых вовлекают в коммуникацию под видом рабочих контактов, что повышает вероятность компрометации.
После проникновения вредоносное ПО обеспечивает устойчивый доступ к системе, позволяя извлекать секретные данные, включая учётные данные, информацию из браузеров и криптовалютные кошельки. Отдельные модули способны выполнять команды, фиксировать нажатия клавиш, передавать файлы и загружать дополнительные элементы, что делает атаку многоэтапной и трудно обнаруживаемой.
Таким образом, по данным источника, наблюдается рост сложности и масштабов атак на цепочки поставок ПО, где сочетание социальной инженерии и скрытых вредоносных компонентов создаёт значительные риски для разработчиков и организаций, использующих открытое программное обеспечение.
Операция, получившая название Contagious Interview, основана на внедрении вредоносного кода в легитимные на вид инструменты разработки. В частности, зафиксирован случай компрометации аккаунта сопровождающего популярный пакет с последующим распространением вредоносного импланта. Кампания связывается с кластером UNC1069, который, по данным источника, пересекается с известными северокорейскими группами, такими как BlueNoroff и Stardust Chollima.
Ключевым элементом атак остаётся социальная инженерия: злоумышленники используют поддельные ссылки на видеоконференции, имитирующие сервисы Microsoft Teams и Zoom, а также распространяют их через Telegram, LinkedIn и Slack. Жертвами становятся разработчики и сотрудники компаний, которых вовлекают в коммуникацию под видом рабочих контактов, что повышает вероятность компрометации.
После проникновения вредоносное ПО обеспечивает устойчивый доступ к системе, позволяя извлекать секретные данные, включая учётные данные, информацию из браузеров и криптовалютные кошельки. Отдельные модули способны выполнять команды, фиксировать нажатия клавиш, передавать файлы и загружать дополнительные элементы, что делает атаку многоэтапной и трудно обнаруживаемой.
Таким образом, по данным источника, наблюдается рост сложности и масштабов атак на цепочки поставок ПО, где сочетание социальной инженерии и скрытых вредоносных компонентов создаёт значительные риски для разработчиков и организаций, использующих открытое программное обеспечение.