Se ha observado que los actores de amenazas norcoreanos involucrados en la campaña Contagious Interview fusionan algunas de las funcionalidades de sus dos programas de malware, lo que indica que el grupo de hackers está refinando activamente su conjunto de herramientas.
Esto es según una nueva investigación de Cisco Talos, que encuentra que las recientes campañas del grupo de hackers han acercado más que nunca la funcionalidad de BeaverTail y OtterCookie, a pesar de que este último está equipado con nuevos módulos para registrar teclas y tomar capturas de pantalla.
Esta actividad se puede atribuir a grupos de amenazas rastreados por la comunidad de ciberseguridad con los nombres CL-STA-0240, DeceivedDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, PurpleBravo, Tenacious Pungsan, UNC5342 y Void Dokkaebi.
Este desarrollo se produce después de que Google Threat Intelligence Group (GTIG) y Mandiant revelaran que los actores de amenazas están utilizando una técnica sigilosa conocida como EtherHiding para recuperar cargas útiles de la siguiente etapa de BNB Smart Chain (BSC) o la cadena de bloques Ethereum, convirtiendo efectivamente la infraestructura descentralizada en servidores resistentes de comando y control (C2). Este es el primer caso documentado de un actor de un Estado-nación que aprovecha técnicas previamente empleadas por grupos de delitos cibernéticos.
Contagious Interview es una elaborada estafa de reclutamiento que comenzó a fines de 2022. Los actores de amenazas norcoreanos atacan a los solicitantes de empleo haciéndose pasar por organizaciones de contratación y los engañan para que instalen malware de robo de información bajo la apariencia de evaluaciones técnicas o trabajos de codificación, lo que resulta en el robo de datos confidenciales y criptomonedas.
En los últimos meses, la campaña ha sufrido varios cambios, incluido el aprovechamiento de las técnicas de ingeniería social de ClickFix para distribuir cepas de malware como GolangGhost, PylangGhost, TsunamiKit, Tropidoor y AkdoorTea. Sin embargo, el ataque se centra en una familia de malware conocida como BeaverTail, OtterCookie e InvisibleFerret.
BeaverTail y OtterCookie son herramientas de malware independientes pero complementarias; esta última se descubrió por primera vez en un ataque en vivo en septiembre de 2024. A diferencia de BeaverTail, que funciona como un ladrón y descargador de información, las interacciones iniciales de OtterCookie se diseñaron para conectarse a un servidor remoto y recuperar comandos para ejecutarlos en un host comprometido.
La actividad detectada por Cisco Talos pertenece a organizaciones con sede en Sri Lanka. Se considera que los atacantes no atacaron intencionalmente a la empresa, sino que uno de sus sistemas se infectó después de ser víctima de una oferta de trabajo falsa que instruía a la empresa a instalar una aplicación troyanizada Node.js llamada Chessfi alojada en Bitbucket, probablemente como parte del proceso de entrevista.
Curiosamente, este software malicioso incluye una dependencia a través de un paquete llamado ‘node-nvm-ssh’ que fue publicado en el repositorio oficial de npm por un usuario llamado ‘trailer’ el 20 de agosto de 2025. El paquete obtuvo un total de 306 descargas y fue eliminado por el mantenedor de npm después de 6 días.
También vale la pena señalar que el paquete npm en cuestión es una de las 338 bibliotecas de Nodos maliciosas señaladas por la firma de seguridad de la cadena de suministro de software Socket como asociadas con la campaña Contagious Interview a principios de esta semana.
Una vez instalado, este paquete desencadena un comportamiento malicioso a través de un enlace posterior a la instalación en el archivo package.json. Este gancho está configurado para ejecutar un script personalizado llamado «skip» para iniciar una carga útil de JavaScript («index.js»), que carga otro JavaScript («file15.js») responsable de ejecutar la etapa final del malware.
Los investigadores de seguridad Vanja Svajcer y Michael Kelley dijeron que un análisis más detallado de la herramienta utilizada en el ataque reveló que «la herramienta tenía características de BeaverTail y OtterCookie, con una distinción borrosa entre los dos», y agregaron que incluía un nuevo módulo de registro de teclas y captura de pantalla que captura usando paquetes npm legítimos como node-global-key-listener y screenscreen-desktop. Cada uno captura pulsaciones de teclas y capturas de pantalla y extrae información a un servidor C2.
Al menos una versión de este nuevo módulo incluye un monitor de portapapeles auxiliar para desviar el contenido del portapapeles. La nueva versión de OtterCookie destaca la evolución de la herramienta desde la recopilación de datos básicos hasta un programa modular para el robo de datos y la ejecución remota de comandos.
El malware, cuyo nombre en código es OtterCookie v5, también tiene una funcionalidad similar a BeaverTail que enumera perfiles y extensiones de navegador, roba datos de navegadores web y billeteras de criptomonedas, instala AnyDesk para acceso remoto persistente y descarga una puerta trasera de Python llamada InvisibleFerret.
Algunos de los otros módulos presentes en OtterCookie se enumeran a continuación.
Un módulo de shell remoto que envía información del sistema y el contenido del portapapeles al servidor C2, instala el paquete npm «socket.io-client», se conecta a un puerto específico en el servidor OtterCookie C2 y recibe más comandos para su ejecución. Un módulo de carga de archivos que enumera metódicamente todas las unidades y recorre el sistema de archivos, buscando archivos que coincidan con una extensión y un patrón de nombres determinados (como Metamask, Bitcoin, Copia de seguridad, etc.) al servidor C2 (frases). Módulo ladrón de extensiones de criptomonedas. Extrae datos de extensiones de billetera de criptomonedas instaladas en los navegadores Google Chrome y Brave (la lista de extensiones elegibles se superpone parcialmente con la lista de BeaverTail)
Además, Talos anunció la detección de un artefacto BeaverTail basado en Qt y una extensión maliciosa de Visual Studio Code que contiene código BeaverTail y OtterCookie, lo que plantea la posibilidad de que el grupo esté experimentando con nuevos métodos de distribución de malware.
«Dado que esta extensión es diferente del TTP normal, también es posible que sea el resultado de la experimentación de otro actor, tal vez un investigador, no relacionado con el famoso Chollima», señalaron los investigadores.
Source link
