OtterCookie 恶意软件

与 Contagious Interview 活动有关的朝鲜网络攻击者引入了一种名为 OtterCookie 的新型 JavaScript 威胁。该活动也称为 DeceptiveDevelopment，采用复杂的社会工程策略，以合法工具或交互为幌子传播威胁软件。

传染性面试的核心是社会工程学

Contagious Interview 活动主要依赖社会工程学，攻击者会假扮为招聘人员。他们利用求职者，在虚构的面试过程中诱骗他们下载恶意软件。这是通过分发托管在 GitHub 或官方软件包注册表等平台上的受感染视频会议应用程序或 npm 软件包来实现的。这种方法使 BeaverTail 和 InvisibleFerret 等恶意软件系列得以部署。

追踪威胁

安全研究人员于 2023 年 11 月首次记录了这一活动，他们以标识符 CL-STA-0240 跟踪了该活动。该黑客组织还被称为 Famous Chollima 和 Tenacious Pungsan 等别名。到 2024 年 9 月，研究人员发现了攻击链的重大更新，包括 BeaverTail 的进化版本。此更新引入了模块化功能，将其数据窃取操作委托给统称为 CivetQ 的 Python 脚本。

与“梦想工作行动”的区别

尽管“传染性面试”与朝鲜另一项与工作相关的网络攻击活动“梦想工作行动”有相似之处，但它仍然与众不同。这两个攻击活动都采用了以工作为主题的诱饵，但它们的感染方法和工具集各不相同。这凸显了朝鲜威胁行为者针对受害者采用的各种方法。

OtterCookie 在更新的攻击链中扮演的角色

最近的发现凸显了 OtterCookie 是 Contagious Interview 武器库中的关键组件。该恶意软件于 2024 年 9 月推出，与 BeaverTail 协同运行，通过命令和控制 (C2) 服务器获取并执行其有效负载。使用 Socket.IO JavaScript 库，OtterCookie 可以执行 shell 命令来窃取敏感数据，例如文件、剪贴板内容和加密货币钱包密钥。

不断进化的能力：OtterCookie 变体

OtterCookie 的初始版本在其代码库中加入了直接窃取加密货币钱包密钥的机制。然而，在 2024 年底检测到的修订版本将此功能转移到通过 shell 命令进行远程执行。这种改编表明攻击者在保持有效感染链的同时不断努力改进其工具。

持续工具更新的影响

OtterCookie 及其更新变体的推出表明，Contagious Interview 活动远未停滞不前。通过增强恶意软件功能，同时保持其攻击方法基本不变，威胁行为者确认了该活动在针对毫无戒心的受害者方面持续取得成功和适应性。