Para peretas Korea Utara yang berada di balik kampanye Contagious Interview kembali memodifikasi taktik mereka, kali ini dengan memanfaatkan layanan penyimpanan JSON untuk menempatkan dan mendistribusikan payload berbahaya. Menurut laporan terbaru, para pelaku kini menggunakan platform seperti JSON Keeper, JSONsilo, dan npoint.io sebagai lokasi penyimpanan tersembunyi untuk malware yang dikaitkan dengan proyek kode trojanized.

Seperti kampanye sebelumnya, operasi ini dimulai dengan mendekati target lewat platform profesional seperti LinkedIn, sering kali dengan dalih proses rekrutmen teknis atau kolaborasi proyek. Korban kemudian diarahkan mengunduh proyek demo dari GitHub, GitLab, atau Bitbucket — repositori yang tampak sah tetapi telah disisipi komponen berbahaya.

Dalam salah satu kasus yang diamati, file “server/config/.config.env” berisi nilai Base64 yang dikemas sebagai API key, namun sebenarnya merupakan URL menuju layanan JSON Keeper. Dari lokasi tersebut, pelaku mengambil payload tahap berikutnya yang disembunyikan dalam format terobfusikasi.

Payload utama kampanye ini adalah BeaverTail, malware JavaScript yang dirancang untuk mencuri data sensitif dan memasang backdoor Python bernama Invisible Ferret. Fungsionalitas Invisible Ferret sendiri tidak banyak berubah sejak pertama kali dipublikasikan pada akhir 2023, tetapi ada pembaruan penting: kini backdoor tersebut mengambil komponen tambahan bernama TsunamiKit dari Pastebin.

Keterlibatan Tsunami Kit dalam kampanye ini sebenarnya telah dicatat beberapa bulan sebelumnya, bersamaan dengan penggunaan Tropidoor dan AkdoorTea. Paket alat tersebut mencakup kemampuan fingerprinting sistem, pengumpulan data, serta pengunduhan payload lanjutan dari alamat .onion yang saat ini tidak aktif.

Peneliti menemukan bahwa rangkaian teknik baru ini memperluas jangkauan serangan secara signifikan. Target utamanya adalah para pengembang perangkat lunak, yang sering kali memiliki akses ke sistem sensitif atau menyimpan aset digital seperti dompet kripto. Dengan memanfaatkan layanan web yang sah dan repositori kode umum, para pelaku dapat menyamar sebagai lalu lintas normal dan mengurangi kemungkinan terdeteksi.

Para analis menyimpulkan bahwa kampanye Contagious Interview terus menunjukkan evolusi yang konsisten: taktik semakin halus, pemilihan target semakin spesifik, dan pemanfaatan layanan publik semakin intensif untuk menutupi aktivitas berbahaya. Ini menandakan upaya berkelanjutan untuk menjaga operasi tetap tersembunyi sambil memperbesar peluang kompromi.