Tres paquetes maliciosos publicados en el registro npm en septiembre de 2024 contienen un malware conocido como BeaverTail, el cual actúa como descargador de JavaScript y ladrón de información. Este malware ha sido vinculado a una campaña norcoreana en curso denominada “Contagious Interview

El equipo de investigación de seguridad de Datadog ha estado monitoreando actividades bajo el nombre Tenacious Pungsan, conocido también como CL-STA-0240 y Famous Chollima. Han identificado tres paquetes maliciosos en el registro npm, que ya fueron retirados, pero que contenían puertas traseras y sumaban varias descargas. Estos paquetes son:

1. passports-js – copia de passport con puerta trasera (118 descargas)
2. bcrypts-js – copia de bcryptjs con puerta trasera (81 descargas)
3. blockscan-api – copia con puerta trasera de etherscan-api (124 descargas)

Esta actividad se vincula con Contagious Interview, una campaña activa desde hace un año atribuida a la República Popular Democrática de Corea (RPDC). Este esfuerzo apunta a engañar a desarrolladores para que descarguen herramientas y aplicaciones maliciosas, como parte de un supuesto proceso de selección técnica. Desde su revelación en noviembre de 2023, esta táctica continúa afectando a quienes buscan empleo en tecnología.

El malware BeaverTail, presente en estos paquetes, ha sido utilizado anteriormente en npm. En agosto de 2024, la empresa Phylum identificó otro grupo de paquetes maliciosos en npm que distribuyeron BeaverTail y un backdoor de Python llamado InvisibleFerret. Los nombres de esos paquetes fueron:

• temp-etherscan-api
• ethersscan-api
• telegram-con
• helmet-validate
• qq-console

En septiembre de 2024, Stacklok detectó una nueva ola de paquetes falsificados, como eslint-module-conf y eslint-scope-util, diseñados para minar criptomonedas y establecer acceso persistente en sistemas de desarrolladores.

Estos hallazgos subrayan un patrón creciente: la cadena de suministro de software de código abierto se está utilizando cada vez más para propagar malware. Contagious Interview y tácticas similares evidencian que los desarrolladores siguen siendo objetivos valiosos para actores de amenazas, especialmente aquellos vinculados con la RPDC, quienes se aprovechan de la confianza y urgencia en los procesos de búsqueda laboral en línea.