朝鲜威胁行为者在传染性面试行动中使用OtterCookie恶意软件

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

与朝鲜有关联的威胁行为者正借助OtterCookie后门程序，通过虚假招聘信息瞄准软件开发人员。

研究发现，与朝鲜相关的威胁行为者在“传染性面试”行动中使用了一种名为OtterCookie的新型恶意软件，该行动通过虚假招聘信息针对软件开发人员群体。

“传染性面试”行动最早由帕洛阿尔托网络公司的研究人员在2023年11月详细披露，然而至少从2022年12月起该行动就已开始活跃。这些攻击似乎出于经济目的，且并非针对性攻击。自2024年11月起，威胁行为者在该行动中使用了OtterCookie恶意软件，同时还有BeaverTail和InvisibleFerret。

日本电报电话公司（NTT）发布的报告中提到：“自2024年11月左右起，安全运营中心（SOC）在‘传染性面试’行动中观察到除BeaverTail和InvisibleFerret之外的恶意软件执行情况。我们将新发现的恶意软件命名为OtterCookie并展开了调查。在本文中，我们将介绍OtterCookie、其执行流程和详细行为。”

该攻击链始于从GitHub或Bitbucket下载的恶意Node.js项目或npm包。攻击者近期还使用了基于Qt或Electron创建的应用程序，这表明威胁行为者正在积极尝试新手段。

OtterCookie后门程序

OtterCookie的加载程序会从远程源下载JSON数据，并将cookie属性作为JavaScript代码执行。攻击者也可能直接下载并执行JavaScript，当出现HTTP 500状态码时，控制权会传递到捕获块。该加载程序主要执行BeaverTail，但偶尔也会观察到它运行OtterCookie，或者同时运行两者。

OtterCookie首次于2024年11月被观察到，不过专家认为它可能自2024年9月起就已活跃，只是在实现方式上存在一些细微差异。11月版本通过Socket.IO进行通信，并可通过socketServer函数执行远程命令，包括执行shell命令和窃取设备信息（whour）。威胁行为者使用shell命令在文档、图像以及加密货币相关文件中搜索加密货币钱包密钥，然后将其发送到远程源。攻击者还使用诸如ls和cat等命令来检查目标环境。

报告总结道：“‘传染性面试’行动仍在积极尝试并持续更新其攻击手段，在日本也观察到了相关攻击，因此需保持警惕。”报告中还包含了入侵指标（IoCs）。 

加入知识星球，可继续阅读

一、"全球高级持续威胁：网络世界的隐形战争"，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、"DeepSeek：APT攻击模拟的新利器"，为你带来APT攻击的新思路。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：朝鲜威胁行为者在“传染性面试”行动中使用OtterCookie恶意软件