# XORIndex Loader > Tipo: **malware** · S1248 · [MITRE ATT&CK](https://attack.mitre.org/software/S1248) ## Descrição [[s1248-xorindex-loader|XORIndex Loader]] é um loader malicioso codificado em XOR utilizado pelo grupo [[g1052-contagious-interview|Contagious Interview]], uma campanha de ameaça afiliada à Coreia do Norte. Reportado pela primeira vez em junho de 2025, o XORIndex Loader atua como componente inicial na cadeia de infecção, coletando informações do sistema hospedeiro, decodificando payloads subsequentes e funcionando como downloader para o malware [[s1246-beavertail|BeaverTail]]. O vetor de distribuição é sofisticado: o loader é entregue via repositórios de código públicos utilizando técnicas de typo-squatting de pacotes npm, disfarçado como bibliotecas JavaScript legítimas. O XORIndex Loader realiza um perfil completo do ambiente antes de executar suas funcionalidades principais: descobre informações do sistema, determina a localização geográfica da vítima, mapeia a configuração de rede e identifica o usuário atual. Essa fase de reconhecimento permite ao operador confirmar que atingiu um alvo de interesse antes de avançar na cadeia de infecção. A codificação XOR dos scripts subsequentes e a obfuscação de comandos dificultam análise estática, enquanto nomes de arquivos que imitam recursos legítimos (match legitimate resource name) auxiliam na evasão de detecção. A campanha [[g1052-contagious-interview|Contagious Interview]] da Coreia do Norte tem como alvo primário desenvolvedores de software, especialmente aqueles que trabalham com criptomoedas e finanças descentralizadas. Os atacantes se passam por recrutadores de tecnologia, convidando desenvolvedores para "entrevistas de emprego" que envolvem download e execução de projetos npm maliciosos. O XORIndex Loader representa a evolução das táticas de supply chain de código norte-coreanas, explorando a confiança que desenvolvedores depositam em repositórios públicos de código. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1614-system-location-discovery|T1614 - System Location Discovery]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1027-010-command-obfuscation|T1027.010 - Command Obfuscation]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1059-007-javascript|T1059.007 - JavaScript]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] ## Grupos que Usam - [[g1052-contagious-interview|Contagious Interview]] ## Detecção A detecção do XORIndex Loader deve focar em pacotes npm com nomes similares a bibliotecas populares (typo-squatting), execução de scripts JavaScript com comportamento de reconhecimento do sistema logo após instalação, e comúnicações HTTP de processos Node.js para destinos não documentados. Análise estática de pacotes npm antes de instalação (usando ferramentas como `npm audit` ou scanners de segurança de dependências) é preventiva. Monitorar geolocalização de IPs para comúnicações de processos de desenvolvimento e detecção de XOR decode em memória são abordagens defensivas relevantes para equipes de segurança focadas em desenvolvedores. ## Relevância LATAM/Brasil O Brasil possui uma comunidade de desenvolvedores JavaScript e Node.js em rápido crescimento, especialmente em startups de fintech, exchanges de criptomoedas e desenvolvimento web. Desenvolvedores brasileiros que trabalham no setor de cripto ou buscam oportunidades internacionais são potencialmente alvos da campanha [[g1052-contagious-interview|Contagious Interview]]. O typo-squatting de pacotes npm é uma ameaça de supply chain relevante para qualquer desenvolvedor que utilize repositórios públicos - prática universal no ecossistema JavaScript. Iniciativas de conscientização sobre segurança de dependências de código são essenciais para comunidades de desenvolvimento no Brasil. ## Referências - [MITRE ATT&CK - S1248](https://attack.mitre.org/software/S1248)