08.04.2026
1 хв
290
Північнокорейські хакери запустили одну з найбільших атак на екосистему open source, розповсюдивши понад 1700 шкідливих пакетів у популярних репозиторіях. Кампанія охоплює npm, PyPI, Go, Rust та інші платформи і вже розглядається як системна загроза для розробників по всьому світу.
Північнокорейська кампанія Contagious Interview продовжує розширюватися і тепер охоплює одразу кілька популярних open source-екосистем. Зловмисники масово публікують шкідливі пакети, націлені на Go, Rust та PHP, використовуючи їх як точку входу в середовище розробників.
За словами дослідника безпеки Socket Кирила Бойченка, ці пакети виглядають як звичайні інструменти для розробки, але насправді виконують роль завантажувачів шкідливого ПЗ.
“Пакети зловмисника були розроблені для того, щоб видавати себе за легітимні інструменти розробника […], водночас непомітно функціонуючи як завантажувачі шкідливого програмного забезпечення, розширюючи усталений сценарій Contagious Interview до скоординованої операції з ланцюга поставок у різних екосистемах”, – зазначив він.
Серед виявлених пакетів:
npm: dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt, debug-glitz
PyPI: logutilkit, apachelicense, fluxhttp, license-utils-kit
Go: github[.]com/golangorg/formstash, github[.]com/aokisasakidev/mit-license-pkg
Rust: logtrace
Go package: golangorg/logkit
Усі вони працюють за схожим сценарієм. Після запуску такі пакети підтягують другий етап атаки, який включає інфостілер і RAT. Шкідливе ПЗ орієнтоване на крадіжку даних із браузерів, менеджерів паролів і криптогаманців.
Окремо виділяється варіант для Windows, який поширюється через пакет license-utils-kit. Він містить повноцінний посткомпромісний інструментарій. Зловмисники можуть виконувати команди, записувати натискання клавіш, витягувати дані з браузерів, завантажувати файли, завершувати роботу браузерів, розгортати AnyDesk для віддаленого доступу, створювати зашифровані архіви та підвантажувати додаткові модулі.
Як пояснює Бойченко, це робить кампанію небезпечною не лише через її масштаб, а й через глибину функціоналу після зараження.
“Це робить цей кластер визначним не лише своїм міжекосистемним охопленням, але й глибиною посткомпромісної функціональності, вбудованої принаймні в частину кампанії”, – додав він.
Ще одна деталь, яка ускладнює виявлення, полягає в тому, що шкідливий код не запускається одразу після встановлення. Його ховають у звичайні функції, які виглядають логічно та відповідають опису пакета. Наприклад, у Rust-бібліотеці logtrace він захований у методі Logger::trace(i32), який навряд чи викличе підозри.
Розширення Contagious Interview одразу на п’ять екосистем свідчить про добре організовану та довготривалу операцію. Її мета проста: системно проникати в інструменти розробників і використовувати їх для шпигунства та фінансової вигоди.
За оцінками Socket, із початку 2025 року в межах цієї активності було виявлено понад 1700 шкідливих пакетів.
Ця кампанія є частиною ширшої хвилі атак на ланцюг постачання ПЗ, яку пов’язують із північнокорейськими групами. Зокрема, раніше вони змогли скомпрометувати npm-пакет Axios і використати його для поширення імпланта WAVESHAPER.V2 після захоплення облікового запису розробника через соціальну інженерію.
Атаку приписують кластеру UNC1069, який пов’язують із BlueNoroff, Sapphire Sleet та Stardust Chollima. За даними Security Alliance, лише з 6 лютого по 7 квітня 2026 року було заблоковано 164 домени, які маскувалися під сервіси на кшталт Microsoft Teams і Zoom.
Сама схема виглядає доволі акуратно. Зловмисники можуть тижнями вибудовувати контакт у Telegram, LinkedIn або Slack, видаючи себе за знайомих або компанії. Після цього жертві надсилають фейкове посилання на зустріч у Zoom або Teams.
Такі посилання працюють як приманка і запускають шкідливе ПЗ, яке підключається до серверів атакуючих і починає збір даних. Під ударом опиняються системи на Windows, macOS і Linux.
Цікаво, що оператори не поспішають діяти одразу після зараження. Імплантат може залишатися неактивним певний час, поки користувач продовжує працювати як зазвичай і навіть не підозрює про компрометацію. Такий підхід дозволяє зловмисникам довше залишатися непоміченими і зібрати максимум інформації.
У Microsoft підтверджують, що фінансово мотивовані групи з КНДР постійно еволюціонують. Вони активно розвивають інфраструктуру, використовують домени під виглядом фінансових установ США та все частіше застосовують сервіси відеоконференцій для атак через соціальну інженерію.
Як зазначив Шеррод ДеГріппо, керівник напряму threat intelligence у Microsoft, змінюються інструменти і тактики, але загальна поведінка та цілі цих груп залишаються незмінними.
