Les acteurs de la menace nord-coréens utilisent un nouveau logiciel malveillant appelé OtterCookie dans la campagne d’interview contagieuse qui cible les développeurs de logiciels.
L’interview contagieuse est active depuis au moins décembre 2022, selon des chercheurs de la société de cybersécurité Palo Alto Networks. La campagne cible les développeurs de logiciels avec de fausses offres d’emploi pour diffuser des logiciels malveillants tels que BeaverTail et InvisibleFerret.
Un rapport de NTT Security Japan note que l’opération d’interview contagieuse utilise maintenant un nouveau logiciel malveillant appelé OtterCookie, qui a probablement été introduit en septembre et avec une nouvelle variante apparaissant dans la nature en novembre.
Chaîne d’attaque OtterCookie
Tout comme dans les attaques documentées par les chercheurs Unit42 de Palo Alto Networks, OtterCookie est livré via un chargeur qui récupère les données JSON et exécute la propriété « cookie » en tant que code JavaScript.
NTT dit que, même si la queue de castor reste la charge utile la plus courante, OtterCookie a été vu dans certains cas soit déployé aux côtés de la queue de castor, soit seul.
Le chargeur infecte les cibles via le nœud.projets js ou packages npm téléchargés depuis GitHub ou Bitbucket. Cependant, des fichiers construits en tant qu’applications Qt ou Electron ont également été utilisés récemment.
Une fois activé sur l’appareil cible, un autre Cookie établit des communications sécurisées avec son infrastructure de commande et de contrôle (C2) en utilisant le Socket.IO Outil WebSocket, et attend les commandes.
Les chercheurs ont observé des commandes shell qui effectuent un vol de données (par exemple, la collecte de clés de portefeuille de crypto-monnaie, de documents, d’images et d’autres informations précieuses).
“La version de septembre d’OtterCookie incluait déjà une fonctionnalité intégrée pour voler des clés liées aux portefeuilles de crypto-monnaie”, explique NTT.
“Par exemple, la fonction checkForSensitiveData utilisait des expressions régulières pour rechercher les clés privées Ethereum”, notent les chercheurs, ajoutant que cela avait été modifié avec la variante de novembre du logiciel malveillant où cela était réalisé via des commandes shell distantes.
La dernière version d’un autre cookie peut également exfiltrer les données du presse-papiers vers les acteurs de la menace, qui peuvent contenir des informations sensibles.
Des commandes généralement utilisées pour la reconnaissance, comme » ls » et « cat », ont également été détectées, indiquant l’intention de l’attaquant d’explorer l’environnement et de le mettre en scène pour une infiltration plus profonde ou un mouvement latéral.
L’apparition de nouveaux logiciels malveillants et la diversification des méthodes d’infection indiquent que les acteurs de la menace derrière la campagne d’interview contagieuse expérimentent de nouvelles tactiques.
Les développeurs de logiciels doivent essayer de vérifier les informations sur un employeur potentiel et se méfier de l’exécution de code sur des ordinateurs personnels ou professionnels dans le cadre d’une offre d’emploi nécessitant des tests de codage.