Los actores de amenazas norcoreanos detrás de la campaña Contagious Interview han seguido inundando el registro npm con 197 paquetes maliciosos más. desde el mes pasado.
De acuerdo a Enchufeestos paquetes se han descargado más de 31.000 veces y están diseñados para ofrecer una variante de OtterCookie que reúne las características de BeaverTail y versiones anteriores de OtterCookie.
Algunos de los paquetes de «cargador» identificados se enumeran a continuación:
- nodo bcryptjs
- sesiones cruzadas
- json-oauth
- viento de cola de nodo
- analizador-reaccionador
- encargado de sesión
- magia del viento de cola
- formas-tailwindcss
- carga de paquete web css
El malware, una vez lanzado, intenta evadir entornos limitados y máquinas virtuales, perfila la máquina y luego establece un canal de comando y control (C2) para proporcionar a los atacantes un shell remoto, junto con capacidades para robar contenidos del portapapeles, registrar pulsaciones de teclas, capturar capturas de pantalla y recopilar credenciales del navegador, documentos, datos de billeteras de criptomonedas y frases iniciales.
Vale la pena señalar que la distinción borrosa entre OtterCookie y BeaverTail fue documentado por Cisco Talos el mes pasado en relación con una infección que afectó a un sistema asociado con una organización con sede en Sri Lanka después de que un usuario probablemente fue engañado para ejecutar una aplicación Node.js como parte de un proceso de entrevista de trabajo falso.
Un análisis más detallado ha determinado que los paquetes están diseñados para conectarse a una URL de Vercel codificada («tetrismic.vercel[.]app»), que luego procede a buscar la carga útil multiplataforma de OtterCookie desde un repositorio de GitHub controlado por un actor de amenazas. La cuenta de GitHub que sirve como vehículo de entrega, stardev0914ya no es accesible.
«Este ritmo sostenido hace que Contagious Interview sea una de las campañas más prolíficas que explotan npm, y muestra cuán completamente los actores de amenazas norcoreanos han adaptado sus herramientas al JavaScript moderno y a los flujos de trabajo de desarrollo criptocéntricos», dijo el investigador de seguridad Kirill Boychenko.
El desarrollo se produce cuando los sitios web falsos con temas de evaluación creados por los actores de amenazas han apalancado Instrucciones estilo ClickFix para distribuir malware conocido como GolangFantasma (también conocido como FlexibleFerret o WeaselStore) con el pretexto de solucionar problemas de cámara o micrófono. La actividad se rastrea bajo el nombre de ClickFake Interview.
Escrito en Go, el malware contacta un servidor C2 codificado y entra en un bucle persistente de procesamiento de comandos para recopilar información del sistema, cargar/descargar archivos, ejecutar comandos del sistema operativo y recopilar información de Google Chrome. La persistencia se logra escribiendo un LaunchAgent de macOS que activa su ejecución mediante un script de shell automáticamente al iniciar sesión el usuario.
También se instala como parte de la cadena de ataque una aplicación señuelo que muestra un mensaje falso de acceso a la cámara de Chrome para continuar con la artimaña. Posteriormente, presenta una solicitud de contraseña estilo Chrome que captura el contenido ingresado por el usuario y lo envía a una cuenta de Dropbox.
«Aunque hay cierta superposición, esta campaña es distinta de otras Planes de trabajadores de TI de la RPDC que se centran en incorporando actores dentro de negocios legítimos bajo identidades falsas», Validin dicho. «La entrevista contagiosa, por el contrario, está diseñada para comprometer a las personas a través de canales de reclutamiento preparados, ejercicios de codificación maliciosos y plataformas de contratación fraudulentas, convirtiendo el proceso de solicitud de empleo en un arma».
Fuente