Los actores de amenazas norcoreanos detrás de la campaña “Entrevista contagiosa” han seguido inundando el registro del NPM con 197 paquetes maliciosos adicionales desde el mes pasado.
Según Socket, estos paquetes se han descargado más de 31.000 veces y están destinados a proporcionar una variante de OtterCookie que combina las características de BeaverTail y versiones anteriores de OtterCookie.
Algunos de los paquetes de “cargador” identificados se enumeran a continuación:
- nodo bcryptjs
- Sesiones cruzadas
- json-oauth
- Nudo viento de cola
- Reaccionar analizador
- administrador de sesión
- Magia de viento de cola
- Formas de viento de cola
- carga de paquete web css
Una vez lanzado, el malware intenta eludir los entornos limitados y las máquinas virtuales, perfilar la máquina y luego establecer un canal de comando y control (C2) para proporcionar a los atacantes un shell remoto, junto con capacidades para robar el contenido del portapapeles, registrar pulsaciones de teclas, capturar capturas de pantalla y recopilar credenciales del navegador, documentos, datos de billeteras de criptomonedas y frases iniciales.
Vale la pena señalar que la distinción borrosa entre OtterCookie y BeaverTail fue documentada el mes pasado por Cisco Talos en relación con una infección que afectó a un sistema en una organización con sede en Sri Lanka después de que un usuario probablemente fue engañado para ejecutar una aplicación Node.js como parte de una entrevista de trabajo falsa.
Un análisis más detallado reveló que los paquetes están diseñados para conectarse a una URL de Vercel codificada (“tetrismic.vercel(.)app”), que luego recupera la carga útil multiplataforma de OtterCookie de un repositorio de GitHub controlado por actores de amenazas. Ya no se puede acceder a la cuenta de GitHub stardev0914, que sirve como vehículo de entrega.
“Este ritmo sostenido hace de Contagious Interview una de las campañas más prolíficas que explotan npm, y muestra cuán minuciosamente los actores de amenazas norcoreanos han adaptado sus herramientas al JavaScript moderno y a los flujos de trabajo de desarrollo criptocéntricos”, dijo el investigador de seguridad Kirill Boychenko.
El desarrollo se produce cuando los actores de amenazas crearon sitios web falsos con temas de reseñas que utilizaron instrucciones de estilo ClickFix para distribuir malware llamado GolangGhost (también conocido como FlexibleFerret o WeaselStore) con el pretexto de solucionar problemas de cámara o micrófono. La actividad se rastrea bajo el nombre ClickFake Interview.
Escrito en Go, el malware contacta un servidor C2 codificado e ingresa a un bucle de procesamiento de comandos persistente para recopilar información del sistema, cargar/descargar archivos, ejecutar comandos del sistema operativo y recopilar información de Google Chrome. La persistencia se logra escribiendo un LaunchAgent de macOS que activa automáticamente su ejecución cuando el usuario inicia sesión mediante un script de shell.
Como parte de la cadena de ataque, también se instala una aplicación engañosa que muestra una solicitud falsa de acceso a la cámara de Chrome para mantener la artimaña. Luego muestra una solicitud de contraseña estilo Chrome que captura el contenido ingresado por el usuario y lo envía a una cuenta de Dropbox.
“Aunque existe cierta superposición, esta campaña es diferente de otros programas para trabajadores de TI de la RPDC que se centran en incorporar actores a empresas legítimas con identidades falsas”, dijo Validin. “La entrevista contagiosa, por el contrario, tiene como objetivo poner a las personas en riesgo a través de canales de reclutamiento escalonados, ejercicios de codificación maliciosos y plataformas de contratación engañosas, convirtiendo el proceso de entrevista en un arma”.
About The Author
