OtterCookie 惡意軟體

與傳染性訪談活動有關的北韓網路攻擊者引入了一種名為 OtterCookie 的新的基於 JavaScript 的威脅。該活動也稱為欺騙性開發，採用複雜的社會工程策略，以合法工具或互動為幌子傳播威脅軟體。

社會工程是傳染性訪談的核心

傳染性面試活動嚴重依賴社會工程，攻擊者假扮招募人員。他們利用尋求工作機會的個人，引誘他們在捏造的面試過程中下載惡意軟體。這是透過分發受感染的視訊會議應用程式或託管在 GitHub 或官方套件註冊表等平台上的 npm 套件來實現的。此類方法使得 BeaverTail 和 InvisibleFerret 等惡意軟體系列得以部署。

追蹤威脅

安全研究人員於 2023 年 11 月首次記錄了這項活動，並使用識別符 CL-STA-0240 追蹤了該活動。該駭客組織也被稱為「著名的千里馬」和「頑強的豐山」等別名。到 2024 年 9 月，研究人員發現了攻擊鏈的重大更新，包括 BeaverTail 的演化版本。此更新引入了模組化功能，將其資料竊取操作委託給統稱為 CivetQ 的 Python 腳本。

與「夢想工作行動」的區別

儘管與北韓另一項與工作相關的網路活動「夢想工作行動」有相似之處，但「傳染性訪談」仍然與眾不同。這兩項活動都採用了以工作為主題的誘餌，但它們的感染方法和工具集有所不同。這凸顯了北韓威脅行為者針對受害者所使用的各種方法。

OtterCookie 在更新的攻擊鏈中的作用

最近的研究結果表明，OtterCookie 是傳染性訪談庫中的重要組成部分。該惡意軟體於 2024 年 9 月推出，與 BeaverTail 協同運行，透過命令與控制 (C2) 伺服器取得並執行其有效負載。使用 Socket.IO JavaScript 庫，OtterCookie 可以執行 shell 命令來竊取敏感數據，例如檔案、剪貼簿內容和加密貨幣錢包金鑰。

不斷發展的功能：OtterCookie 變體

OtterCookie 的初始版本在其程式碼庫中納入了直接加密貨幣錢包金鑰盜竊機制。然而，2024 年末偵測到的修訂變體將此功能轉移為透過 shell 命令遠端執行。這種改編說明了攻擊者不斷努力改進他們的工具，同時維持有效的感染鏈。

持續工具更新的影響

OtterCookie 及其更新變體的推出表明，傳染性採訪活動遠未停滯不前。透過增強惡意軟體功能，同時保持攻擊方法基本上不變，威脅行為者確認了該活動在針對毫無戒心的受害者方面的持續成功和適應性。