Корейские хакеры атакуют разработчиков через поддельные npm-пакеты

Исследователи безопасности обнаружили масштабную кампанию северокорейских хакеров, которые используют поддельные npm-пакеты для кражи криптовалютных активов и конфиденциальных данных разработчиков. Операция Contagious Interview, связанная с государственными злоумышленниками из КНДР, продолжает развиваться, демонстрируя изощрённые методы атак на программные цепочки поставок.

Описание

Согласно данным отчёта Socket Threat Research, с октября 2025 года злоумышленники добавили в npm-реестр как минимум 197 вредоносных пакетов, которые получили свыше 31 тысячи загрузок. Основной целью атак становятся разработчики блокчейн-решений и Web3-приложений, которых привлекают через фальшивые предложения о работе и тестовые задания.

Эксперты обнаружили сложную инфраструктуру, связывающую GitHub, Vercel и npm. Анализ пакета tailwind-magic показал, что он содержит ссылку на GitHub-репозиторий stardev0914/tailwind-magic, который служит платформой для распространения вредоносного ПО. Владелец аккаунта stardev0914 поддерживал 18 репозиториев, включая пять явно вредоносных npm-пакетов: tailwind-magic, tailwind-node, node-tailwind, node-tailwind-magic и react-modal-select.

Архитектура атаки представляет собой многоуровневую систему. Вредоносные пакеты из npm выступают в роли загрузчиков, которые обращаются к промежуточному серверу на Vercel по адресу tetrismic[.]vercel[.]app. Этот сервер, в свою очередь, получает актуальную версию вредоносного кода из GitHub-репозиториев злоумышленников. Финальный этап включает установку соединения с командным сервером для сбора данных и удалённого управления.

Полезная нагрузка атаки представляет собой новую версию malware OtterCookie, который сочетает функции похитителя информации и инструмента удалённого доступа. Программа выполняет детектирование виртуальных машин и песочниц, создает цифровой отпечаток системы, после чего устанавливает устойчивый канал связи с командным сервером.

Функциональность вредоносной программы включает удалённую командную оболочку, постоянный мониторинг буфера обмена, глобальное перехват нажатий клавиш, создание скриншотов со всех мониторов и рекурсивное сканирование файловой системы. OtterCookie целенаправленно ищет учётные данные, seed-фразы кошельков, данные цифровых активов и чувствительные документы. Особое внимание уделяется данным профилей Chrome и Brave, а также популярным криптовалютным расширениям для браузеров на Windows, macOS и Linux.

Исследователи обнаружили, что злоумышленники создали множество приманок в виде крипто-тематических проектов. Репозиторий dexproject имитирует фронтенд децентрализованной биржи Knightsbridge, но содержит вредоносную зависимость node-tailwind. Другие репозитории, такие как safutoken, laifubnb и spurdomeme, представляют собой фальшивые токен-проекты, используемые для заманивания жертв.

Несмотря на то, что аккаунт stardev0914 уже удалён, кампания продолжается. По данным исследователей, 15 вредоносных пакетов остаются активными в npm-реестре, о чём уже уведомлена служба безопасности npm. Новые инфильтрации появляются еженедельно, что свидетельствует о систематическом характере операции.

Специалисты по безопасности рекомендуют разработчикам проявлять особую осторожность при установке npm-пакетов, рассматривая каждый такой процесс как потенциальное выполнение удалённого кода. Критически важно ограничивать доступ CI-систем к производственным ключам и секретам, применять контроль исходящего сетевого трафика и тщательно проверять новые шаблоны проектов из GitHub, особенно в сфере Web3 и DeFi.

Автоматизированный анализ зависимостей должен стать неотъемлемой частью процесса разработки. Современные инструменты безопасности позволяют обнаруживать подозрительное поведение, такое как загрузчики, выполняемые при импорте, использование eval для обработки сетевых ответов, кроссплатформенные кейлоггеры и массовую эксфильтрацию файлов до того, как эти действия будут выполнены на машинах разработчиков или в CI-системах.

Эксперты подчеркивают, что комбинация автоматизированных инструментов и строгих процессов код-ревью может эффективно останавливать кампании типа Contagious Interview до того, как вредоносное ПО получит возможность выполниться в системах сборки или получить доступ к криптовалютным кошелькам.

Индикаторы компрометации

IPv4

144.172.104.117

IPv4 Port Combinations

144.172.104.117:5918

Domains

knightsbridge-dex.vercel.app
tetrismic.vercel.app

URLs

http://144.172.104.117:5918/api/service/process
http://144.172.104.117:5918/clip
http://144.172.104.117:5918/command
http://144.172.104.117:5918/output
http://144.172.104.117:5918/total
http://144.172.104.117:5918/upload
https://tetrismic.vercel.app/api/ipcheck

Emails

abigailzebrairses36717@outlook.com
alexander0110825@outlook.com
allenhand0101@outlook.com
alphabrownsapon70555@hotmail.com
amelievolcanobquvq06786@hotmail.com
avaazaleaanwvk05883@outlook.com
b22993172@gmail.com
bba719771@gmail.com
bizownership018@gmail.com
blakegonzalezeamuh10473@hotmail.com
blaziystankw1lcf@hotmail.com
bohdanstashkiv.bs@outlook.com
bookcats1@freyaglam.shop
borgdandeco@gmail.com
brandonmistycqbcr06016@hotmail.com
brightfuturescompany08462@outlook.com
brimstoneinkwellwugke88241@outlook.com
bryceprojects78322@hotmail.com
btwininvest02417@hotmail.com
bzuinvestorsclub82574@hotmail.com
charlieaffiliates22177@gmail.com
cheaphomeseller55358@gmail.com
chicagomrreid01317@gmail.com
citylivingagent99587@gmail.com
crimson72489@yahoo.com
cygnusonyxxzbek89014@gmail.com
daniellequaranta3@yahoo.com
dataflight38629@gmail.com
daveysellshomes47484@gmail.com
dawsonspaces08839@gmail.com
dazzlebitcorp62317@gmail.com
dealmakersclub92647@outlook.com
devonventureinvest81368@gmail.com
dhruvishah05828@outlook.com
digitalhomesales97117@gmail.com
dmitrypetrov71155@outlook.com
edisonrippin@outlook.com
elitecapitalgroup08563@gmail.com
emmahousingexpert87469@gmail.com
emmawills02165@gmail.com
erbanfceraswud8px@hotmail.com
eurekasales07505@gmail.com
evergreenrealtor59192@gmail.com
evergreenrealtyteam12469@gmail.com
fasttrackhomes22444@gmail.com
firstchoicepropertyagent00182@gmail.com
frostlangleyzmmvy94489@outlook.com
futuregrowthhooger00277@gmail.com
futurehousefinder62139@gmail.com
gddavila.tomas510727@outlook.com
greenhousebuyersclub77084@gmail.com
greenviewagent00541@gmail.com
harborviewproperty07246@gmail.com
henrylynbunnh91@hotmail.com
homedealconnect81891@gmail.com
homesearchpro99483@gmail.com
homesolutionsnow95843@gmail.com
horizonpropertyteam88973@gmail.com
househunterpro12888@gmail.com
investcereal91863@gmail.com
investdreamz34518@gmail.com
investgrowthplanner16529@gmail.com
jasonhomesales01207@gmail.com
johnmarston39482@gmail.com
JonathonF1010@outlook.com
kevinspace09495@gmail.com
keycityagent64977@gmail.com
keycityrealtor98521@gmail.com
keystonenashynoum95584@outlook.com
khardenjenna510727@outlook.com
kievrelationmanager07992@gmail.com
knightjenkinsybtec90710@outlook.com
krauszsenff3pkph@hotmail.com
kukurudza339@gmail.com
landmarkhomesconsult33423@gmail.com
landscapeinvestor00913@gmail.com
lauradrwh@gmail.com
lendingcrafters51867@gmail.com
leowestbcqni01653@outlook.com
lillihousingagent83183@gmail.com
lisaselingreen56157@gmail.com
londonhomesmartagent36691@gmail.com
londonpropertyagent33861@gmail.com
londonpropertyguide27011@gmail.com
luxuryhomebroker77429@gmail.com
luxuryprimeagent11914@gmail.com
maggiehomes68871@gmail.com
mariastanfordakchz04029@hotmail.com
maximvaluehousings17477@gmail.com
metronewhomes21319@gmail.com
metropolitanhomesguide99492@gmail.com
metropropertiesadvisor00082@gmail.com
miamihouseconnect44257@gmail.com
miroinvestmentstudio04977@gmail.com
modernhomerealtor49536@gmail.com
modernspacesrealty29477@gmail.com
mohammedas517@outlook.com
nataliastashkiv.bs@outlook.com
newcitydealers94317@gmail.com
newcityhomeadv90451@gmail.com
newheightsrealtor83727@gmail.com
newhousenexus82253@gmail.com
newleafapartment50743@gmail.com
newprimehomes70695@gmail.com
newskyrealestate29771@gmail.com
nexthomeadviser68116@gmail.com
nextlevelproperties84193@gmail.com
oakwoodpropertyteam97341@gmail.com
opalqwntfqqp7270@outlook.com
openhouserealestateagent27183@gmail.com
palmhouserealestate02758@gmail.com
pascaldev0921@outlook.com
peaksummitproperty81546@gmail.com
peterandr345@gmail.com
ponbok20251123@outlook.com
premierhouseagent68861@gmail.com
primehomesconnect12973@gmail.com
primekeyrealtor09471@gmail.com
primelocationagent63672@gmail.com
propertyadvisor36515278@gmail.com
propertyconsultant48888@gmail.com
propertygatewayexpert36994@gmail.com
propertylistingexpert84712@gmail.com
prorealtyguide02229@gmail.com
rapidhomebuyer24518@gmail.com
realestateadvancer05390@gmail.com
realestateconsult11470@gmail.com
realestateconsultant78941@gmail.com
realestateguidelily27361@gmail.com
realestatepartnerz02814@gmail.com
realestorxpress23477@gmail.com
reddixyxzh551438@hotmail.com
reedfowlerccouj11583@hotmail.com
ricardo.a.t.1010@outlook.com
richlandhousingsolutions81845@gmail.com
richmondhomesales42214@gmail.com
riverfrontproperties90177@gmail.com
riverstoneagent17563@gmail.com
rocksolidestate93364@gmail.com
rooflinerealtor00821@gmail.com
rootedlandagents77219@gmail.com
royalestateconnect43449@gmail.com
seasidehomesrealtor29486@gmail.com
seasideviewrealtor08465@gmail.com
seattlecityrealtor42890@gmail.com
silvercityproperty05525@gmail.com
silverlineproperty64209@gmail.com
skylinehomeadvisor14961@gmail.com
skylinehousesales62474@gmail.com
smartchoicehousing24861@gmail.com
smartcityhomes87496@gmail.com
smartkeyhomes00728@gmail.com
solidinvestments05572@gmail.com
solidpropertyadvisor33345@gmail.com
springtownhomes83379@gmail.com
stard8447@gmail.com
suburbanhomeconnect16179@gmail.com
summitpropertyagent07717@gmail.com
sunnyvaleproperty44162@gmail.com
sunnyviewhomes49110@gmail.com
thecityhomesales97011@gmail.com
topchoicehomesconsult55882@gmail.com
topflite4@freyaglam.shop
topflite5@freyaglam.shop
topkeyrealestate99241@gmail.com
urbanhomefinder35266@gmail.com
urbanlivingteam00074@gmail.com
urbanpropertyguide43812@gmail.com
valleyhomesguide14195@gmail.com
victormolonna510727@outlook.com
vitalcityhomes22591@gmail.com
vrindalseth@gmail.com
westfieldhomeagent66414@gmail.com
yelyzavetazaporozhtseva@gmail.com
yorktownhomesales08111@gmail.com
yuleyuccaxoiqw85368@outlook.com

Malicious npm Packages

assert-json-not
auth-handler
bcrypt-js-edge
bcryptjs-node
bcryptjs-nodejs
bcryptjs-node-js
bootstrap-flexgrid
bootstrap-setcolor
bootstrap-setcolors
bootstrap-setflexcolor
chai-as-deploy
chai-as-deployed
chai-as-sorted
chai-as-tested
chai-async
chai-async-chain
chai-async-flow
chai-auth
chai-await-asserts
chai-await-test
chai-await-utils
chai-jsons
chai-pack
chai-promise-chain
chai-promised-expect
chai-promise-suite
chai-proxify
chai-status
chai-sync
chai-test-await
chai-type
cookie-breaker
cookie-mapper
cookie-validate
cross-sessions
custom-log-viewer
cwanner
dataflow-unified
dist-decoder
dotenv-intend
elevate-log
email-validated
func-analysist
glowmotion
gridmancer
grid-settings
grid-settings-align
initial-path
init-router
js-coauth
js-copack
js-cotype
jsonapptoken
jsonauth
jsonauthcap
jsonauto
json-getin
jsonify-settings
json-oauth
json-panels
jsonpino
jsonrecap
jsonretype
js-repack
jsswapper
jstoauto
js-uponcaps
kyjnzu
lintcolor
logify-pino
log-pino
module-listener
muleforge
multi-provider-settings
node-tailwind
node-tailwind-magic
pgforce
pino-logging
pixelblm
pixel-bloom
pretty-text-formatter
radix-ui-react-modal
react-adparser
react-alerts-template-basic
react-bindify-decorators
react-flex-tools
react-icon-updater
reactify-utils
react-ipack
reactjs-fabric
react-mandes
react-medias
react-modal-select
react-notifications-alert
react-prop-types-helper
react-resizable-text
react-sideflow
react-stateflow
react-svg-bundler
react-svg-fill
react-svg-helper-fast
react-svgs-helper
react-svg-supporter
react-tchart
react-tmedia
react-ui-animates
react-ui-notify
redux-motion
seeds-alert
seeds-random
session-expire
session-keeper
session-parer
session-parse
session-validate
shadeforge
signale-log
smart-parser
stram-log
stringify-coder
style-config-tailwind
style-tailwind-variant
tailwind-areachart
tailwind-barchart
tailwind-chart
tailwind-config-view
tailwindcss-aerowind
tailwindcss-animatedfly
tailwindcss-animation-css
tailwindcss-animation-helper
tailwindcss-animation-style
tailwindcss-awesomefont
tailwindcss-bootstrap-color
tailwindcss-breezium
tailwindcss-containers
tailwindcss-csstree
tailwindcss-flexbox
tailwindcss-flexflow
tailwindcss-fontawesome
tailwindcss-forms
tailwindcss-gustify
tailwindcss-helpers
tailwindcss-motionflex
tailwindcss-react-animation
tailwindcss-react-sass
tailwindcss-setanimation
tailwindcss-setfavicon
tailwindcss-setflexgrid
tailwindcss-setfont
tailwindcss-setfontstyle
tailwindcss-setgrid
tailwindcss-setgrids
tailwindcss-setmotion
tailwindcss-setremotion
tailwindcss-tailkit
tailwindcss-twflare
tailwindcss-web-font-awesome
tailwind-dynamic
tailwind-fa-bridge
tailwind-forms-plus
tailwind-gradient-image
tailwind-grid-tools
tailwind-interact
tailwind-justify
tailwind-magic
tailwind-merge-setting
tailwind-morph
tailwind-node
tailwind-piechart
tailwind-react-plugin
tailwind-setting
tailwind-state
tailwind-style-override
tailwind-utils-plus
tailwind-utilx
tailwind-variance
tailwind-view-ui
tailwind-widgets
testing-react-dom
validator-node
vite-chunk-master
vite-commonjs-support
vite-compiler-tools
vite-dynachunk
vite-dynamic-chunks
vite-manual-chunker
vite-plugin-es6-compat
vite-plugin-parseflow
vite-plugin-parsify
vite-plugin-postcss-tools
vite-smart-chunk
vite-support-kit
webpack-compilejsx
webpack-jsxcompile
webpack-loadcss
web-vitals-help
xdater

Malicious npm Packages (Tetrismic C2)

node-tailwind
node-tailwind-magic
react-modal-select
tailwind-magic
tailwind-node

GitHub Account

github.com/stardev0914