Los actores de amenazas norcoreanos detrás de la campaña Contagious Interview han seguido inundando el registro npm con 197 paquetes maliciosos adicionales desde el mes pasado.
Según Socket, estos paquetes se han descargado más de 31.000 veces y están diseñados para proporcionar una variante de OtterCookie que integra la funcionalidad de BeaverTail y versiones anteriores de OtterCookie.
Algunos de los paquetes de «cargador» identificados se enumeran a continuación.
bcryptjs-nodo sesión cruzada json-oauth nodo-tailwind reaccionar-adparser administrador de sesión tailwind-magic tailwindcss-forms webpack-loadcss
Una vez lanzado, el malware evita los entornos aislados y las máquinas virtuales, intenta perfilar la máquina, establece un canal de comando y control (C2) y proporciona al atacante un shell remoto, así como la capacidad de robar contenidos del portapapeles, registrar pulsaciones de teclas, capturar capturas de pantalla y recopilar credenciales del navegador, documentos, datos de billeteras de criptomonedas y frases iniciales.
Vale la pena señalar que la distinción borrosa entre OtterCookie y BeaverTail fue documentada por Cisco Talos el mes pasado en relación con una infección que afectó a los sistemas asociados con una organización con sede en Sri Lanka, donde los usuarios probablemente fueron engañados para ejecutar una aplicación Node.js como parte de un proceso de entrevista de trabajo falso.
Un análisis más detallado revela que estos paquetes están diseñados para conectarse a una URL de Vercel codificada («tetrismic.vercel(.)app») y luego recuperar una carga útil multiplataforma de OtterCookie desde un repositorio de GitHub controlado por un actor de amenazas. Ya no se puede acceder a la cuenta de GitHub stardev0914, que sirve como vehículo de distribución.
«Este ritmo sostenido hace que Contagious Interview sea una de las campañas más prolíficas que explotan npm, y muestra cuán minuciosamente los actores de amenazas norcoreanos han adaptado sus herramientas al JavaScript moderno y a los flujos de trabajo de desarrollo criptocéntricos», dijo el investigador de seguridad Kirill Boichenko.
Este desarrollo se produjo después de que un sitio web falso con temas de reputación creado por un actor de amenazas utilizara instrucciones estilo ClickFix para distribuir malware llamado GolangGhost (también conocido como FlexibleFerret o WeaselStore) con el pretexto de solucionar problemas de cámara y micrófono. Esta actividad se rastrea bajo el nombre ClickFake Interview.
El malware, escrito en Go, se conecta a un servidor C2 codificado e ingresa a un bucle de procesamiento de comandos persistente para recopilar información del sistema, cargar/descargar archivos, ejecutar comandos del sistema operativo y recopilar información de Google Chrome. La persistencia se logra mediante la creación de un LaunchAgent de macOS que activa automáticamente la ejecución de un script de shell cuando un usuario inicia sesión.
Como parte de la cadena de ataque, también se instala una aplicación señuelo que muestra un mensaje falso de acceso a la cámara de Chrome para continuar con la artimaña. Luego muestra una solicitud de contraseña estilo Chrome, captura el contenido que escribe y lo envía a su cuenta de Dropbox.
«Si bien existe cierta superposición, esta campaña es diferente de otros programas de trabajadores de TI de Corea del Norte que se centran en integrar actores dentro de empresas legítimas bajo identidades falsas», dijo Validin. «Por el contrario, las entrevistas contagiosas están diseñadas para poner a las personas en riesgo a través de procesos de contratación paso a paso, ejercicios de codificación maliciosos y plataformas de contratación fraudulentas, convirtiendo el proceso de solicitud de empleo en un arma».
Source link
