朝鲜黑客使用OtterCookie恶意软件在Contagious Interview活动中

与朝鲜有关的威胁行为者被发现在名为“Contagious Interview”的活动中使用一种新的恶意软件OtterCookie，该活动以假的工作邀约为诱饵，针对软件开发者社区。Palo Alto Networks的研究人员最早在2023年11月详细描述了“Contagious Interview”活动，但该活动至少从2022年12月起就已经活跃。这些攻击似乎是出于经济动机，而不是有针对性的。自2024年11月以来，威胁行为者在该活动中使用了OtterCookie恶意软件，以及BeaverTail和InvisibleFerret。

NTT发布的报告中写道：“自2024年11月左右以来，SOC观察到‘Contagious Interview’活动中除了BeaverTail和InvisibleFerret之外的其他恶意软件的执行。”“我们将新观察到的恶意软件称为OtterCookie，并对其进行了调查。在本文中，我们将介绍OtterCookie及其执行流程和详细行为。”

攻击链条从GitHub或Bitbucket上下载的恶意Node.js项目或npm软件包开始。近期，攻击者还使用了使用Qt或Electron创建的应用程序，这表明威胁行为者正在积极实验。

OtterCookie后门的朝鲜加载器会从远程源下载JSON数据，并将cookie属性作为JavaScript代码执行。攻击者还可能直接下载并执行JavaScript，当发生HTTP 500状态代码时，控制权将传递给catch块。该加载器主要执行BeaverTail，但有时也被观察到运行OtterCookie，或同时运行两者。

OtterCookie最早于2024年11月被观察到，但专家认为它可能从2024年9月起就已经活跃，实现方式略有不同。11月版本通过Socket.IO进行通信，并可以通过socketServer函数执行远程命令，包括执行shell命令和窃取设备信息（whour）。威胁行为者使用shell命令在文档、图像和与加密货币相关的文件中搜索加密货币钱包密钥，然后将这些密钥发送到远程源。攻击者使用ls和cat等命令来检查目标环境。

报告总结道：“‘Contagious Interview’正在积极实验并不断更新其攻击方法，攻击行为也在日本被观察到，因此建议保持谨慎。”报告还包括了危害指标（IoCs）。

原文始发于微信公众号（黑猫安全）：朝鲜黑客使用OtterCookie恶意软件在“Contagious Interview”活动中