برنامج OtterCookie الخبيث
أطلق مجرمو الإنترنت الكوريون الشماليون المرتبطون بحملة Contagious Interview تهديدًا جديدًا قائمًا على JavaScript يسمى OtterCookie. تستخدم هذه الحملة، المعروفة أيضًا باسم DeceptiveDevelopment، تكتيكات هندسية اجتماعية متطورة لتقديم برامج تهديدية تحت ستار أدوات أو تفاعلات مشروعة.
جدول المحتويات
الهندسة الاجتماعية في صميم المقابلة المعدية
تعتمد حملة Contagious Interview بشكل كبير على الهندسة الاجتماعية، حيث يتظاهر المهاجمون بأنهم من المجندين. فهم يستغلون الأفراد الباحثين عن فرص عمل، ويغريهم بتنزيل برامج خبيثة أثناء عملية مقابلة ملفقة. ويتم تحقيق ذلك من خلال توزيع تطبيقات مؤتمرات الفيديو المخترقة أو حزم npm المستضافة على منصات مثل GitHub أو سجلات الحزم الرسمية. وقد مكنت مثل هذه الأساليب من نشر عائلات البرامج الضارة مثل BeaverTail وInvisibleFerret.
تتبع التهديد
وقد تعقب باحثو الأمن، الذين وثقوا هذا النشاط لأول مرة في نوفمبر 2023، الحملة تحت المعرف CL-STA-0240. كما يُشار إلى مجموعة القرصنة بأسماء مستعارة مثل Famous Chollima وTenacious Pungsan. وبحلول سبتمبر 2024، اكتشف الباحثون تحديثات مهمة لسلسلة الهجوم، بما في ذلك نسخة متطورة من BeaverTail. وقد قدم هذا التحديث قدرات معيارية، حيث فوض عمليات سرقة البيانات إلى نصوص Python التي يطلق عليها مجتمعة اسم CivetQ.
التمييز من عملية حلم الوظيفة
على الرغم من أوجه التشابه بينها وبين عملية Dream Job، وهي حملة إلكترونية أخرى مرتبطة بالوظائف في كوريا الشمالية، فإن Contagious Interview تظل مختلفة. تستخدم كلتا الحملتين أدوات وهمية ذات طابع وظيفي، لكن منهجيات العدوى وأدواتها تختلف. وهذا يؤكد على الأساليب المتنوعة التي يستخدمها مرتكبو التهديدات في كوريا الشمالية لاستهداف الضحايا.
دور OtterCookie في سلسلة الهجوم المحدثة
وقد سلطت النتائج الأخيرة الضوء على OtterCookie باعتباره مكونًا أساسيًا في ترسانة Contagious Interview. يعمل البرنامج الخبيث، الذي تم تقديمه في سبتمبر 2024، جنبًا إلى جنب مع BeaverTail، حيث يقوم بجلب حمولته وتنفيذها عبر خادم Command-and-Control (C2). باستخدام مكتبة JavaScript Socket.IO، يمكن لـ OtterCookie تنفيذ أوامر shell لاستخراج البيانات الحساسة مثل الملفات ومحتوى الحافظة ومفاتيح محفظة العملات المشفرة.
القدرات المتطورة: إصدارات OtterCookie
تضمنت النسخة الأولية من OtterCookie آلية سرقة مفاتيح محفظة العملات المشفرة مباشرة داخل قاعدة التعليمات البرمجية الخاصة بها. ومع ذلك، تم تحويل هذه الميزة إلى التنفيذ عن بُعد عبر أوامر shell في نسخة معدلة تم اكتشافها في أواخر عام 2024. يوضح هذا التعديل الجهود المستمرة التي يبذلها المهاجمون لتحسين أدواتهم مع الحفاظ على سلسلة عدوى فعالة.
آثار تحديثات الأدوات المستمرة
يُظهِر تقديم OtterCookie وإصداراته المحدثة أن حملة Contagious Interview بعيدة كل البعد عن الركود. فمن خلال تعزيز قدراتهم في مجال البرامج الضارة مع ترك منهجية الهجوم دون تغيير إلى حد كبير، يؤكد المهاجمون نجاح الحملة المستمر وقدرتها على التكيف في استهداف الضحايا غير المطمئنين.
