Специалисты японской компании NTT Security выявили новую угрозу в арсенале северокорейских хакеров — вредоносную программу OtterCookie, которая активно применяется в рамках масштабной кампании Contagious Interview, нацеленной на разработчиков программного обеспечения.
Механизм атаки и социальная инженерия
Злоумышленники используют изощренную тактику социальной инженерии, маскируясь под HR-специалистов и предлагая потенциальным жертвам фиктивные вакансии. В ходе якобы тестового задания разработчикам предлагается загрузить вредоносное ПО, замаскированное под легитимные проекты Node.js, пакеты npm или приложения Qt/Electron с популярных платформ GitHub и Bitbucket.
Технические особенности OtterCookie
После успешного внедрения в систему жертвы, OtterCookie устанавливает соединение с командным центром через библиотеку Socket.IO. Вредонос обладает широким функционалом для кражи конфиденциальных данных, включая криптовалютные ключи, документы и другую ценную информацию. Особую опасность представляет способность программы перехватывать содержимое буфера обмена.
Эволюция вредоносного ПО
Исследователи отмечают значительную эволюцию OtterCookie с момента его первого появления в сентябре 2023 года. Если изначальная версия содержала встроенные функции для кражи криптовалютных ключей Ethereum, то ноябрьское обновление получило расширенные возможности удаленного управления через shell-команды. Вредонос часто используется в связке с другим вредоносным ПО BeaverTail, усиливая эффективность атак.
В свете участившихся атак специалисты по кибербезопасности настоятельно рекомендуют разработчикам проявлять повышенную бдительность при рассмотрении предложений о работе. Необходимо тщательно верифицировать потенциальных работодателей и избегать запуска непроверенного кода на рабочих и личных устройствах. Организациям следует усилить защитные меры и проводить регулярные тренинги по информационной безопасности для своих сотрудников.
