# HexEval Loader > Tipo: **malware** · S1249 · [MITRE ATT&CK](https://attack.mitre.org/software/S1249) ## Descrição [[s1249-hexeval-loader|HexEval Loader]] é um loader com codificação hexadecimal que coleta dados do host, decodifica scripts subsequentes e atua como downloader para o malware [[s1246-beavertail|BeaverTail]]. O [[s1249-hexeval-loader|HexEval Loader]] foi reportado pela primeira vez em abril de 2025. Ele foi utilizado anteriormente por atores de ameaça afiliados à Coreia do Norte identificados como [[g1052-contagious-interview|Contagious Interview]]. O [[s1249-hexeval-loader|HexEval Loader]] foi entregue a vítimas por meio de repositórios de código que utilizam convenções de nomenclatura de typosquatting de diversos pacotes npm. **Plataformas:** Linux, macOS, Windows ## Técnicas Utilizadas - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1059-007-javascript|T1059.007 - JavaScript]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1614-system-location-discovery|T1614 - System Location Discovery]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] ## Grupos que Usam - [[g1052-contagious-interview|Contagious Interview]] ## Referências - [MITRE ATT&CK - S1249](https://attack.mitre.org/software/S1249)