HackerNews 编译,转载请注明出处:
朝鲜黑客近期发起了一项名为“Contagious Interview”(传染性面试)的行动,通过虚假的职位邀请针对软件开发人员,传播一种新型恶意软件——“OtterCookie”。
据网络安全公司Palo Alto Networks和NTT Security Japan的研究分析,这项行动自2022年12月以来一直在活跃,并已经演化了多种攻击手段。最初,该行动主要利用BeaverTail和InvisibleFerret等恶意软件进行攻击,但来自NTT Security Japan的报告指出,Contagious Interview行动现在正在使用一种新的恶意软件,名为OtterCookie,该恶意软件可能于2023年9月首次被引入,且在11月出现了新的变种。
与Palo Alto Networks Unit42研究员记录的攻击类似,OtterCookie通过一个加载器传递,该加载器获取JSON数据并将“cookie”属性作为JavaScript代码执行。
NTT表示,尽管BeaverTail仍然是最常见的有效载荷,OtterCookie在一些情况下与BeaverTail一同部署,或单独使用。
该加载器通过从GitHub或Bitbucket下载的Node.js项目或npm包感染目标。然而,最近也使用了构建为Qt或Electron应用程序的文件。
攻击概述
图源:NTT Japan
一旦OtterCookie在目标设备上激活,它会使用Socket.IO WebSocket工具与其命令控制(C2)基础设施建立安全通信,并等待接收指令。
研究人员观察到执行数据窃取的Shell命令(例如收集加密货币钱包密钥、文档、图片及其他有价值信息)。
NTT解释道:“9月版本的OtterCookie已包含内置功能,用于窃取与加密货币钱包相关的密钥。”
“例如,checkForSensitiveData函数使用正则表达式检查以太坊私钥,”研究人员指出,并补充说,11月版本的恶意软件对这一点进行了修改,改为通过远程Shell命令来实现此功能。
锁定加密货币信息
图源:NTT Japan
最新版本的OtterCookie还可以将剪贴板数据泄露给威胁行为者,这些数据可能包含敏感信息。
研究人员还检测到一些典型的侦察命令,如ls和cat,这表明攻击者意图探索目标环境,为进一步的深入渗透或横向移动做准备。
OtterCookie恶意软件的出现以及感染方法的多样化,表明Contagious Interview行动背后的威胁行为者正在尝试新的战术。
针对这一威胁,软件开发人员应当提高警惕,核实潜在雇主的信息,避免在个人或工作计算机上随意运行代码,尤其是在应聘过程中要求进行编程测试时。
消息来源:Bleeping Computer, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
