警惕！朝鲜黑客组织利用OtterCookie后门锁定软件开发者

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

近年来，网络攻击手段不断翻新，朝鲜支持的黑客组织再次登上威胁舞台。这次，他们以软件开发者为目标，利用虚假求职邀请作为诱饵，部署名为“OtterCookie”的全新恶意软件，引发广泛关注。

“传播性面试”行动揭秘 🎯

“传播性面试”（Contagious Interview）行动最早由Palo Alto Networks在2023年11月曝光，但溯源发现，此行动至少从2022年12月开始活跃。该攻击活动的特点是：  

1. 通过虚假求职邀请诱导受害者。  

2. 将目标对准软件开发社区，伪装为合法的开发工具或项目资源。  

3. 主要目的是窃取财务信息，包括加密货币钱包密钥。  

从2024年11月起，攻击者在行动中开始频繁使用OtterCookie后门，结合其他工具如BeaverTail和InvisibleFerret，手段更为复杂多变。

恶意软件“OtterCookie”的攻击链 🕵️‍♂️

#1. 恶意载体传播

攻击者利用GitHub或Bitbucket等代码托管平台上传含有恶意代码的Node.js项目或npm包，还尝试通过Qt或Electron框架创建的应用程序传播。

#2. 动态代码执行

一旦受害者下载并运行这些项目，恶意载体会下载JSON数据，并将其中的“cookie”属性作为JavaScript代码执行。攻击者还可以直接下载并执行JavaScript代码。

#3. OtterCookie后门的行为

远程指令执行：通过Socket.IO通信，攻击者可远程执行指令，如运行Shell命令。

敏感信息窃取：搜索并窃取与加密货币相关的文件（例如钱包密钥、文档和图片）。

环境侦查：使用“ls”和“cat”等命令收集目标设备信息，并将其发送至远程服务器。

专家分析发现，OtterCookie在2024年9月或更早时间已经开始运作，其功能在11月的版本中进一步升级，显示攻击者在持续优化其工具。

为何需要警惕？ ⚠️

目标广泛：虽然主要针对软件开发者，但也可能波及使用这些开发工具的企业用户。

技术进化：黑客在不断试验新方法，如利用Qt、Electron框架的应用程序进行攻击。

加密货币威胁：针对加密货币钱包的攻击正在上升，财务损失风险巨大。

如何保护自己？ 🔒

1. 下载可信资源：避免从不明来源下载npm包或开源项目，核实代码可信性。

2. 及时更新软件：保持开发环境和依赖包的最新状态，修复已知漏洞。

3. 加强安全意识：对不明链接、邮件附件和“求职邀请”保持警惕。

4. 使用安全工具：部署防病毒软件和网络防护工具，实时监测可疑行为。

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友入圈沟通交流。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：警惕！朝鲜黑客组织利用“OtterCookie”后门锁定软件开发者