
Se ha observado que los actores de amenazas norcoreanos asociados con la campaña Contagious Interview utilizan esteganografía en archivos de imágenes SVG para ocultar cargas útiles maliciosas como parte de una campaña que utiliza listas de trabajos falsas y desafíos de codificación.
«Los usuarios que ejecutaron el proyecto terminaron con una carga útil de cuatro etapas asociada con OTTERCOOKIE: un ladrón de credenciales de navegador y billeteras criptográficas, un ladrón de archivos, un troyano de acceso remoto (RAT) basado en Socket.IO y un ladrón de portapapeles», dijo Elastic Security Labs en un informe compartido con The Hacker News.
Los hallazgos subrayan el continuo ataque a los desarrolladores de software por parte de piratas informáticos patrocinados por el Estado y alineados con la República Popular Democrática de Corea (RPDC) para robar datos confidenciales y extorsionar carteras de criptomonedas. Esta actividad se rastrea bajo el nombre REF9403.
La división de ciberseguridad de la plataforma holandesa de búsqueda y observabilidad empresarial anunció que descubrió la campaña después de que actores de amenazas atacaran a miembros de los espacios de trabajo Slack de la comunidad con señuelos de ingeniería social que pretendían ser ofertas de trabajo, destacando un nuevo vector de acceso inicial, previamente indocumentado, en ataques relacionados con Contagious Interview, una sofisticada operación de ingeniería social que ha estado en curso desde al menos diciembre de 2022.
El mensaje, publicado en el canal #jobs de Slack por un usuario llamado Maxwell a finales de mayo de 2026, buscaba un desarrollador experimentado para ayudar a actualizar la plataforma de comercio electrónico a una «arquitectura moderna y escalable que utilice Next.js (v14), NestJS, PostgreSQL y Auth.js» junto con la integración de Stripe.
Aquellos que expresaron interés en la oportunidad recibieron un mensaje directo con instrucciones para completar una evaluación de codificación como parte de la oferta de trabajo. Esta es una táctica estándar que se observa en las campañas de entrevistas contagiosas. La misión incluía ejecutar un repositorio troyanizado que contenía malware diseñado para filtrar datos valiosos y configurar la puerta trasera Socket.IO.
Específicamente, los repositorios distribuidos como parte de este esquema contienen código completamente funcional, pero también incorporan código malicioso en forma de imágenes SVG para evadir la detección.
«Si bien estos proyectos que parecen legítimos funcionan perfectamente bien, el código malicioso se activa silenciosamente detrás de escena», dijo Elastic. «La carga útil se divide en fragmentos Base64 en comentarios HTML que abarcan todas las imágenes de banderas SVG en el directorio de activos. Estos archivos parecen imágenes de banderas normales (AE.svg, AF.svg), pero cada archivo contiene un bloque de comentarios insertado que contiene datos codificados en Base64».

Luego, la carga útil se crea mediante un archivo JavaScript (‘serverValidation.js’) que reside dentro del repositorio. La cadena de ataque está diseñada para que el malware se ejecute en cada inicio del servidor. Elastic dijo que su carga útil principal se superpone con OtterCookie, un malware multiplataforma que apareció por primera vez en septiembre de 2024.
OtterCookie «ha evolucionado desde una herramienta básica para ejecutar comandos remotos y recuperar claves de cifrado a un programa modular capaz de realizar un robo de datos más amplio con la capacidad de verificar el entorno de VM, instalar clientes de comunicación como socket.io para C2, filtrar información, ejecutar comandos de shell arbitrarios y cargar otros módulos para recopilar datos para propósitos específicos e informar resultados», dijo Microsoft en marzo.
El malware incorpora cuatro módulos diferentes para facilitar el control remoto persistente utilizando un troyano basado en Socket.IO que puede recopilar datos de navegadores web y billeteras de criptomonedas, recopilar archivos que coincidan con una lista específica de extensiones, ejecutar comandos de shell, capturar contenidos del portapapeles y soltar archivos ejecutables de Windows.
Algunos de los archivos recopilados por OtterCookie incluyen extensiones de herramientas de codificación de inteligencia artificial (IA), como .claude, .cursor, .gemini, .windsurf, .pearai y .llama, lo que sugiere que los atacantes están refinando activamente su arsenal para recopilar la mayor cantidad de información posible.
Vale la pena señalar que este malware también muestra una superposición funcional con ladrones de datos y troyanos distribuidos a través de paquetes npm falsos disfrazados de herramientas acumulativas de polyfill. Esto sugiere que los actores de amenazas están persiguiendo múltiples vectores de propagación.
«Esta campaña confirma que los desarrolladores siguen siendo un objetivo principal, y el compromiso de un individuo puede proporcionar el acceso inicial necesario para permitir ataques generalizados a la cadena de suministro contra organizaciones posteriores», dijo Elastic. «El éxito de estas operaciones pone de relieve cómo los compromisos realizados por desarrolladores individuales pueden tener implicaciones organizativas más amplias».
Source link
