Introdução ao JSON Keeper e sua Utilização por Grupos Nortecoreanos
Os pesquisadores da NVISO revelaram que grupos ligados à Coreia do Norte, como o Contagious Interview, estão utilizando serviços de armazenamento JSON, como JSON Keeper, JSONsilo e npoint.io, para entregar malware de forma sutil. Além disso, essa tática visa plataformas como LinkedIn e repositórios de código, como GitHub.
Táticas de Engenharia Social na Campanha Contagious Interview
Fingindo processos seletivos ou parcerias empresariais, os hackers criam iscas de engenharia social para induzir vítimas a baixar demos de projetos. Portanto, um arquivo suspeito, como “server/config/.config.env”, é enviado. Este arquivo contém um valor codificado em Base64, que parece uma chave de API, mas na verdade redireciona para um serviço de armazenamento JSON malicioso.
Funcionalidades do Malware BeaverTail e InvisibleFerret
O BeaverTail, um malware JavaScript, rouba dados sensíveis e instala uma backdoor Python, denominada InvisibleFerret. Além disso, a última versão do payload, o TsunamiKit, coleta informações do sistema e permite o download de outros malwares de servidores .onion. Vale ressaltar que essas técnicas foram identificadas pela Palo Alto Networks e ESET em 2023 e 2025, respectivamente.
Por Que os Ataques são tão Disfarçados?
Os hackers priorizam o uso de serviços legítimos e repositórios de código comuns para se misturar ao tráfego normal da internet. Assim, o JSON Keeper torna-se uma ferramenta eficiente para evitar detecção, já que suas operações parecem inofensivas. Além disso, campanhas anteriores, como a do Tropidoor e AkdoorTea, demonstram uma evolução constante nas estratégias cibernéticas.
Em conclusão, a segurança de empresas e usuários exige vigilância rigorosa contra métodos como o JSON Keeper. Portanto, análises de código e verificação de fontes são essenciais para evitar infecções.