Hackers norte-coreanos usam JSON para entregar malware
Hackers norte-coreanos envolvidos na campanha Contagious Interview estão explorando serviços gratuitos de armazenamento de JSON, como JSON Keeper, JSONsilo e npoint.io, para esconder e distribuir novos carregadores de malware, segundo relatório da empresa de segurança NVISO.
Armazenamento JSON vira canal furtivo de ataque
De acordo com os pesquisadores Bart Parys e Stef Franco, os agentes de ameaça trojanizam projetos de código aberto, inserindo links que apontam para arquivos JSON hospedados nos serviços mencionados. Esses arquivos contêm o payload malicioso em formato Base64, que é decodificado e executado localmente assim que o desenvolvedor ou usuário compila o projeto infectado.
A estratégia oferece três vantagens principais ao grupo norte-coreano: baixo custo, porque os repositórios JSON são gratuitos; alta disponibilidade, já que provedores raramente bloqueiam conteúdos em texto simples; e anonimato, pois o tráfego HTTP(S) gerado parece legítimo. Técnicas semelhantes já haviam sido vistas em ataques que usavam repositórios GitHub e plataformas de pastebin, mas o uso de endpoints JSON dificulta ainda mais a detecção pelos antivírus tradicionais.
O relatório alerta que a campanha tem como alvo principal desenvolvedores de software e pesquisadores de segurança, um público cuja cadeia de confiança pode abrir portas para ataques em larga escala a empresas de tecnologia, fintechs e plataformas de e-commerce.
Riscos e recomendações para quem monetiza sites
Empreendedores digitais que mantêm plugins WordPress, temas personalizados ou scripts em repositórios públicos devem redobrar a inspeção de dependências externas. Ferramentas automáticas de análise de código, como dependency checkers, ajudam a identificar bibliotecas alteradas recentemente com links suspeitos. Além disso, é indicado configurar regras de firewall que bloqueiem domínios de JSON hosting pouco conhecidos, prática recomendada também pela revista Wired em análises de cibersegurança.
Outra medida simples é habilitar autenticação multifator (MFA) em todas as contas de hospedagem de código e adotar assinaturas digitais em seus próprios projetos, reduzindo o risco de adulteração por terceiros.
Os ataques evoluem rapidamente, e acompanhar relatórios especializados é parte essencial da rotina de quem vive de anúncios, afiliados ou vendas online. Para aprofundar seu entendimento sobre como ameaças emergentes podem afetar sua operação, visite nossa seção de análise de tecnologia e mantenha-se protegido.
Crédito da imagem: Thehackernews
Fonte: Thehackernews
