Supply Chain Attack nordcoreano, Contagious Interview prende di mira gli sviluppatori: 1.700 pacchetti malevoli in cinque ecosistemi open source
Un’operazione di supply chain attack attribuita a gruppi hacker nordcoreani ha raggiunto una scala senza precedenti: oltre 1.700 pacchetti malevoli distribuiti contemporaneamente su cinque dei principali registri open source globali, progettati per colpire sviluppatori software in tutto il mondo attraverso strumenti di uso quotidiano. La campagna, denominata Contagious Interview e monitorata dai ricercatori di Socket Security dal 2024, ha compiuto il 7 aprile 2026 un salto qualitativo significativo: per la prima volta, la stessa infrastruttura di staging e gli stessi pattern di distribuzione sono stati replicati in parallelo su npm, PyPI, Go Modules, crates.io e Packagist.
Supply Chain Attack nordcoreano: una fabbrica di pacchetti malevoli a scala industriale
Socket ha documentato che il cluster individuato in questa tornata comprende dodici pacchetti malevoli confermati e due pacchetti “dormienti”, caricati sotto alias GitHub tra cui golangorg, aokisasakidev e aokisasakidev1, con una rete di supporto operante sotto i profili maxcointech1010 e maxcointech0000.
L’elenco completo dei pacchetti identificati per ecosistema, secondo il report del ricercatore Kirill Boychenko di Socket, è il seguente: su npm i pacchetti dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt e debug-glitz; su PyPI i pacchetti logutilkit, apachelicense, fluxhttp e license-utils-kit; nel registro Go i moduli github.com/golangorg/formstash e github.com/aokisasakidev/mit-license-pkg; nel registro Rust il pacchetto logtrace; nel registro PHP Packagist il pacchetto golangorg/logkit.
La scelta dei nomi non è casuale: i pacchetti erano progettati per impersonare strumenti di sviluppo legittimi come debug, debug-logfmt, pino-debug, baraka, license, http, libprettylogger e openlss/func-log, funzionando silenziosamente come malware loader. Questo schema è perfettamente coerente con quanto già documentato da ICT Security Magazine nell’analisi sulla supply chain software e i 454.000 pacchetti malevoli del 2025: la fiducia implicita nei registri pubblici è diventata l’arma più efficiente a disposizione degli attaccanti statali.
Il meccanismo di infezione: loader a due stadi invisibili al momento dell’installazione
Il malware nascosto è progettato in modo da non eseguirsi durante l’installazione del pacchetto, rendendo più difficile il rilevamento da parte degli strumenti di sicurezza tradizionali.
I loader recuperano un downloadUrl dall’infrastruttura controllata dagli attaccanti (in particolare dall’endpoint apachelicense[.]vercel[.]app), riscrivono i link di condivisione di Google Drive in formato di download diretto, scaricano archivi ZIP come ecw_update.zip e consegnano payload di secondo stadio specifici per piattaforma. Questi payload si rivelano essere malware con capacità di infostealer e remote access trojan (RAT), in grado di sottrarre credenziali, portafogli di criptovalute e garantire accesso persistente ai sistemi compromessi.
Il coordinamento cross-ecosistema è l’elemento più significativo: lo stesso cluster ha pubblicato i pacchetti su cinque registri diversi riutilizzando la stessa logica di staging, la stessa infrastruttura e gli stessi pattern di riuso delle persona. Questo indica che gli attaccanti possono continuare a portare lo stesso design di loader in nuovi registri con sole modifiche minori al codice.
Chi c’è dietro Contagious Interview: UNC1069, BlueNoroff e il link con Axios
L’attacco è attribuito a un threat actor a motivazione finanziaria noto come UNC1069, che si sovrappone ai gruppi BlueNoroff, Sapphire Sleet e Stardust Chollima. La Security Alliance (SEAL) ha dichiarato di aver bloccato 164 domini collegati a UNC1069 che impersonavano servizi come Microsoft Teams e Zoom tra il 6 febbraio e il 7 aprile 2026.
UNC1069 opera campagne di social engineering a bassa pressione e multi-settimana su Telegram, LinkedIn e Slack, impersonando contatti noti o brand credibili, o sfruttando accessi ad account aziendali e personali precedentemente compromessi, prima di consegnare un link fraudolento a una riunione Zoom o Microsoft Teams, utilizzato per veicolare lure di tipo ClickFix con conseguente esecuzione di malware su Windows, macOS e Linux.
La campagna si inserisce in un contesto più ampio di attacchi alla supply chain software da parte nordcoreana: tra le operazioni parallele figura anche l’avvelenamento del popolare pacchetto npm Axios per distribuire un impianto chiamato WAVESHAPER.V2, dopo aver preso il controllo dell’account npm del maintainer del pacchetto tramite una campagna di social engineering su misura.
Microsoft ha analizzato in dettaglio la campagna Contagious Interview, confermando come gli attori nordcoreani a motivazione finanziaria stiano evolvendo attivamente il loro toolset e la loro infrastruttura, usando domini che si spacciano per istituzioni finanziarie statunitensi e applicazioni di videoconferenza per il social engineering, con una chiara continuità nel comportamento e nell’intento.
Il modello “factory”: una minaccia sistematica e scalabile
Socket descrive Contagious Interview come una minaccia supply chain che adotta un modello a fabbrica, ben dotata di risorse, prolifica e sistematica, che tratta npm, PyPI e VS Code come canali di accesso iniziale rinnovabili verso ambienti di sviluppo e, sulla base delle indagini attuali, estende lo stesso playbook a Go Modules, crates.io e Packagist. Il totale di oltre 1.700 pacchetti malevoli tracciati è riferito all’attività complessiva della campagna a partire dal gennaio 2025.
Per comprendere la portata strutturale del problema, è utile fare riferimento all’analisi già pubblicata su ICT Security Magazine sull’avvelenamento di LiteLLM e la supply chain Python per sviluppatori AI, che descrive lo stesso schema operativo replicato da TeamPCP su cinque ecosistemi in meno di un mese. Contagious Interview applica la medesima logica su scala ancora più ampia e con risorse statali.
Le implicazioni per le organizzazioni: NIS2 e la responsabilità sulle dipendenze
La campagna Contagious Interview ha conseguenze dirette sul piano della compliance normativa. Come approfondito nell’articolo di ICT Security Magazine sugli ecosistemi digitali sotto attacco, NIS2 e gli SBOM, la NIS2 impone alle organizzazioni in scope di valutare la postura di sicurezza dei fornitori diretti e dei service provider, inclusi i componenti open source integrati nelle pipeline di sviluppo. Un pacchetto npm installato da un developer in un ambiente CI/CD è, a tutti gli effetti, un componente della supply chain soggetto a questa valutazione.
Il Cyber Resilience Act (CRA) europeo, in via di implementazione, introdurrà obblighi specifici per i produttori di software che incorporano componenti open source, rendendo la tracciabilità delle dipendenze tramite Software Bill of Materials (SBOM) non più una raccomandazione ma un requisito operativo verificabile.
Raccomandazioni operative per i team di sviluppo
Socket, che ha segnalato tutti i pacchetti malevoli identificati ai registri interessati e presentato richieste di rimozione per gli account GitHub associati, ha ottenuto la rimozione di logtrace da crates.io (con advisory tracciato come RUSTSEC-2026-0081), il blocco dei moduli Go identificati da parte del Go Security team, e la rimozione dei pacchetti aokisasakidev da npm.
Le raccomandazioni pratiche sono le seguenti: trattare come ad alto rischio i pacchetti di utilità che contattano infrastrutture remote, recuperano un downloadUrl, riscrivono link di cloud storage, scaricano archivi, decodificano contenuti remoti o avviano interpreti da funzioni helper; bloccare le versioni delle dipendenze dirette e transitive, fissando hash specifici nelle pipeline CI/CD; esaminare con attenzione i pacchetti appena pubblicati o con pochi download prima dell’adozione; eseguire i pacchetti sospetti in ambienti sandbox prima che raggiungano workstation di sviluppatori o sistemi CI; verificare i maintainer account tramite autenticazione a due fattori e monitorare i trasferimenti di ownership sui pacchetti critici.
Al momento della pubblicazione del report di Socket, alcuni pacchetti erano già stati rimossi dai registri, ma altri erano ancora attivi. Questo sottolinea la necessità di non affidarsi esclusivamente alle misure di sicurezza dei registry, ma di implementare controlli propri a livello di pipeline.
