🔍 Contexte
Publié le 18 juillet 2026 par Elastic Security Labs (auteur : Daniel Stepanic), cet article documente une nouvelle campagne du groupe Contagious Interview, aligné DPRK, trackée sous la référence REF9403. La découverte est issue d’une activité suspecte ciblant directement le workspace Slack communautaire d’Elastic.
🎯 Vecteur d’infection
Le 26 mai 2026, un utilisateur fictif nommé Maxwell a publié une fausse offre d’emploi dans le canal #jobs du Slack d’Elastic, proposant un défi de codage. Les victimes recevaient un dépôt trojanisé (projet e-commerce Next.js) à exécuter localement. Les dépôts identifiés incluent :
next-ecommerce-private-main.zipshopping-platform-main.zipecommerce-platform.zipecommerce-main.zipshop-main.zipshopping-platform.rar
Aucun de ces fichiers n’était détecté par les antivirus au moment de l’analyse (0 détection VirusTotal).
🖼️ Technique de stéganographie SVG
Le payload malveillant est fragmenté en Base64 dans des commentaires HTML insérés dans chaque fichier SVG de drapeaux (ex: AE.svg, AF.svg) d’un répertoire assets/flags. Un fichier JavaScript (serverValidation.js) réassemble ces fragments par ordre alphabétique, les décode via une fonction personnalisée Check(), puis les exécute via eval(). Le payload se déclenche à chaque démarrage du serveur (npm run dev ou npm start).
🧩 Modules malveillants (4 stages)
- Browser credential & crypto wallet stealer : exfiltre identifiants, données autofill et bases LevelDB de 25 extensions de wallets crypto (Chrome, Edge, Brave, Opera) vers
ldb.rightwidth[.]dev. Cible aussi le keychain macOS. - File stealer : balayage récursif ciblant
*.env,*.pem,.ssh,.aws,.bash_history, etc., exfiltration versupload.rightwidth[.]dev. - Socket.IO RAT : canal C2 persistant via
controller.rightwidth[.]dev(HTTPS), détection VM/sandbox, accès shell interactif viachild_process.exec(). - Clipboard stealer / Windows PE dropper : polling clipboard toutes les 500ms, téléchargement de binaires secondaires (
hostService.exe,printSvc.exe,dhcpSvc.exe) depuisfile.rightwidth[.]dev.
🔗 Attribution
Le payload principal présente des similarités de code avec OTTERCOOKIE (découvert par NTT Security en décembre 2024). Les endpoints C2 (/api/service/makelog, /api/service/process/<uid>, /cldbs, /upload) correspondent à l’infrastructure précédemment documentée par JFrog Security. Le groupe est aligné DPRK, associé à la campagne Contagious Interview.
🛡️ Obfuscation
Le code JavaScript est protégé par obfuscator.io : extraction de tableaux de chaînes, lookups indexés, tableau auto-rotatif anti-tampering, boucle infinie while (!![]). Le processus se masque sous le nom npm-cache.
📋 Type d’article
Il s’agit d’une analyse technique approfondie publiée par Elastic Security Labs, visant à documenter une nouvelle chaîne d’infection inédite, fournir des IOCs exploitables et des règles de détection pour la communauté CTI.
🧠 TTPs et IOCs détectés
Acteurs de menace
- Contagious Interview (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK
TTP
- T1566 — Phishing (Initial Access)
- T1204.002 — User Execution: Malicious File (Execution)
- T1027.003 — Obfuscated Files or Information: Steganography (Defense Evasion)
- T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
- T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
- T1115 — Clipboard Data (Collection)
- T1005 — Data from Local System (Collection)
- T1041 — Exfiltration Over C2 Channel (Exfiltration)
- T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
- T1102 — Web Service (Command and Control)
- T1057 — Process Discovery (Discovery)
- T1082 — System Information Discovery (Discovery)
- T1083 — File and Directory Discovery (Discovery)
- T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
- T1497 — Virtualization/Sandbox Evasion (Defense Evasion)
- T1105 — Ingress Tool Transfer (Command and Control)
IOC
- IPv4 :
195.26.248.212— AbuseIPDB · VT · ThreatFox - IPv4 :
188.40.64.61— AbuseIPDB · VT · ThreatFox - Domaines :
rightwidth.dev— VT · URLhaus · ThreatFox - Domaines :
ldb.rightwidth.dev— VT · URLhaus · ThreatFox - Domaines :
upload.rightwidth.dev— VT · URLhaus · ThreatFox - Domaines :
controller.rightwidth.dev— VT · URLhaus · ThreatFox - Domaines :
file.rightwidth.dev— VT · URLhaus · ThreatFox - SHA256 :
8e571d58794b9b44ae53c2c67bedef72c500e8adbb80aab7a5c263adcba55b1e— VT · MalwareBazaar - SHA256 :
3e6360f83a95540aa2176d279ca4694513afb1e5116a7ffe591c6b5bcf3b9c3c— VT · MalwareBazaar - SHA256 :
4e7639045b4a64de60bfb6312951a5c3dffbd3fb04b84837663242ed27f09864— VT · MalwareBazaar - SHA256 :
54bf36910d81ab516037cb3d69d7c85190f90aa0da9e58617799c1fc738dc5a9— VT · MalwareBazaar - SHA256 :
96357529d17c4690826d5d4c74deac51743a5388733b3f04004d898f0635ef20— VT · MalwareBazaar - SHA256 :
9df01d242ef46adfedf8c35cb7cc67b1d27d7dc4a1ce74ab32e984090d579886— VT · MalwareBazaar - SHA256 :
c5aed4c063d4970a03250778da8041da9e0c83d8f22d2f1994da0ad72567ebd9— VT · MalwareBazaar - SHA256 :
cc97517f80f567977300450de11e9a0be53f52657525a20b1091c99fe9e45730— VT · MalwareBazaar - SHA256 :
fb94b2caee2c40635448a98ba0118421e19a400e74ccff73315f8fa42351f53f— VT · MalwareBazaar - Fichiers :
next-ecommerce-private-main.zip - Fichiers :
shopping-platform-main.zip - Fichiers :
ecommerce-platform.zip - Fichiers :
ecommerce-platform-main.zip - Fichiers :
shopping-platform.rar - Fichiers :
shop-main.zip - Fichiers :
ecommerce-main.zip - Fichiers :
serverValidation.js - Fichiers :
hostService.txt - Fichiers :
printSvc.txt - Fichiers :
dhcpSvc.txt - Fichiers :
hostService.exe - Fichiers :
printSvc.exe - Fichiers :
dhcpSvc.exe - Chemins :
C:\Users\jim\.npm\vhost.ctl
Malware / Outils
- OTTERCOOKIE (stealer)
- BEAVERTAIL (loader)
- Socket.IO RAT (rat)
🟢 Indice de vérification factuelle : 88/100 (haute)
- ✅ elastic.co — source reconnue (liste interne) (20pts)
- ✅ 23680 chars — texte complet (fulltext extrait) (15pts)
- ✅ 31 IOCs dont des hashes (15pts)
- ✅ 1/8 IOC(s) confirmé(s) (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (8pts)
- ✅ 16 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : Contagious Interview (5pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
188.40.64.61(ip) → VT (4/91 détections)
🔗 Source originale : https://www.elastic.co/security-labs/contagious-interview-malware-svg-steganography