伪装面试骗局再升级：朝鲜APT黑客用OtterCookie恶意软件盯上软件开发者

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

你是否曾收到过诱人的海外工作机会？小心，这可能是朝鲜黑客精心布下的陷阱！

近日，网络安全研究人员发现，与朝鲜有关的黑客组织正在一场名为“Contagious Interview”（感染面试）的攻击活动中，利用全新恶意软件OtterCookie，以假冒的工作机会为诱饵，专门针对全球软件开发者。

🎭 伪装面试：从机会到陷阱的演变

这场攻击活动早在2022年12月就已经开始，最初是通过伪装的工作邀请传播恶意软件，如BeaverTail和InvisibleFerret。而到了2024年11月，研究人员首次发现了OtterCookie这一新型后门工具的使用。

这些攻击者通过以下方式进行伪装：

1. 传播恶意Node.js项目或npm软件包，诱导目标从GitHub或Bitbucket下载。

2. 最近新增了使用Qt或Electron框架开发的应用程序，显示出攻击者不断探索新技术的趋势。

3. 伪装成合法的招聘邮件，引导开发者下载被植入后门的“面试工具”。

🔍 OtterCookie的危险行为

OtterCookie 的工作原理令人警惕：  

1. 加载程序从远程服务器下载JSON数据，并以JavaScript代码形式执行。  

2. 它通过Socket.IO通信，与攻击者的控制服务器进行实时交互。  

核心功能包括：

执行远程命令，如Shell命令。

窃取设备信息，如文件目录和用户数据。

针对加密货币钱包密钥的搜索，将目标文件（如文档、图片）上传至远程服务器。

攻击目标：

这些攻击并非定向，而是广撒网的金融动机。尤其是针对加密货币相关文件，黑客似乎希望窃取钱包密钥以获取经济利益。

🌏 全球警报：攻击者不断更新策略

研究人员指出，Contagious Interview活动的攻击范围不仅局限于某一地区，包括日本在内的多个国家都受到了影响。随着新工具如OtterCookie的加入，攻击手法也在持续升级。

“黑客还在不断试验和改进其攻击方法，这场面试骗局正在变得更加隐秘和危险。”——NTT报告

💡 如何保护自己？

面对这类高度伪装的攻击，我们该如何防范？  

1. 谨慎对待陌生邮件：特别是那些声称提供高薪工作的招聘邀请。  

2. 避免下载来源不明的软件包或项目：尤其是来自未知开发者的Node.js或Qt程序。  

3. 启用多因素认证（MFA）：为你的所有账户增加一层安全防护。  

4. 定期更新设备与软件补丁：降低漏洞被利用的风险。

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友入圈沟通交流。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：伪装面试骗局再升级：朝鲜APT黑客用“OtterCookie”恶意软件盯上软件开发者