بدافزار OtterCookie

بازیگران سایبری کره شمالی مرتبط با کمپین Contagious Interview تهدید جدیدی مبتنی بر جاوا اسکریپت به نام OtterCookie معرفی کرده اند. این کمپین که به عنوان DeceptiveDevelopment نیز شناخته می شود، از تاکتیک های پیچیده مهندسی اجتماعی برای ارائه نرم افزارهای تهدیدآمیز تحت پوشش ابزارها یا تعاملات قانونی استفاده می کند.

مهندسی اجتماعی در هسته مصاحبه مسری

کمپین مصاحبه مسری به شدت بر مهندسی اجتماعی متکی است و مهاجمان خود را به عنوان استخدام‌کننده معرفی می‌کنند. آنها از افرادی که به دنبال فرصت های شغلی هستند سوء استفاده می کنند و آنها را در طی یک فرآیند مصاحبه ساختگی به دانلود نرم افزارهای بدخواه ترغیب می کنند. این امر از طریق توزیع برنامه‌های کنفرانس ویدئویی به خطر افتاده یا بسته‌های npm میزبانی شده بر روی پلتفرم‌هایی مانند GitHub یا ثبت بسته‌های رسمی به دست می‌آید. چنین روش‌هایی امکان استقرار خانواده‌های بدافزار مانند BeaverTail و InvisibleFerret را فراهم کرده‌اند.

ردیابی تهدید

محققان امنیتی که برای اولین بار این فعالیت را در نوامبر 2023 مستند کردند، این کمپین را با شناسه CL-STA-0240 ردیابی کردند. گروه هک با نام های مستعار مانند Chollima معروف و Tenacious Pungsan نیز نامیده می شود. تا سپتامبر 2024، محققان به‌روزرسانی‌های مهمی را در زنجیره حمله، از جمله نسخه تکامل‌یافته BeaverTail، کشف کردند. این به‌روزرسانی قابلیت‌های ماژولار را معرفی کرد و عملیات سرقت داده‌های خود را به اسکریپت‌های پایتون که مجموعاً CivetQ نام دارند، واگذار کرد.

تمایز از عملیات رویایی شغل

علیرغم شباهت‌هایش به عملیات رویای شغل، یکی دیگر از کمپین‌های سایبری مرتبط با شغل کره شمالی، مصاحبه مسری همچنان متمایز است. هر دو کمپین از فریب‌هایی با مضمون شغل استفاده می‌کنند، اما روش‌های عفونت و مجموعه ابزار آنها متفاوت است. این امر بر رویکردهای متنوعی که بازیگران تهدید کره شمالی برای هدف قرار دادن قربانیان استفاده می کنند، تأکید می کند.

نقش OtterCookie در زنجیره حمله به روز شده

یافته های اخیر OtterCookie را به عنوان یک جزء مهم در زرادخانه مصاحبه مسری برجسته کرده است. این بدافزار که در سپتامبر 2024 معرفی شد، همزمان با BeaverTail عمل می‌کند و بار خود را از طریق یک سرور Command-and-Control (C2) واکشی و اجرا می‌کند. با استفاده از کتابخانه جاوا اسکریپت Socket.IO، OtterCookie می تواند دستورات پوسته را برای استخراج داده های حساس مانند فایل ها، محتوای کلیپ بورد و کلیدهای کیف پول رمزنگاری اجرا کند.

قابلیت های در حال تکامل: انواع OtterCookie

نسخه اولیه OtterCookie مکانیزم سرقت کلید کیف پول ارز دیجیتال را در پایگاه کد خود گنجانده بود. با این حال، یک نوع اصلاح شده، که در اواخر سال 2024 شناسایی شد، این ویژگی را به اجرای از راه دور از طریق دستورات پوسته تغییر داد. این انطباق نشان دهنده تلاش مداوم مهاجمان برای اصلاح ابزارهای خود در عین حفظ زنجیره عفونت موثر است.

پیامدهای به روز رسانی مداوم ابزار

معرفی OtterCookie و انواع به روز شده آن نشان می دهد که کمپین مصاحبه مسری به دور از راکد بودن است. عوامل تهدید با افزایش قابلیت‌های بدافزار خود در حالی که روش حمله خود را تا حد زیادی بدون تغییر می‌گذارند، موفقیت مستمر و سازگاری کمپین را در هدف قرار دادن قربانیان ناآگاه تأیید می‌کنند.