Los actores de amenazas norcoreanos detrás de la campaña Contagious Interview han seguido inundando el registro npm con 197 paquetes maliciosos más desde el mes pasado.
Según Socket, estos paquetes se han descargado más de 31.000 veces y están diseñados para ofrecer una cambio de OtterCookie que reúne las características de BeaverTail y versiones anteriores de OtterCookie.
Algunos de los paquetes de “cargador” identificados se enumeran a continuación:
- nodo bcryptjs
- sesiones cruzadas
- json-oauth
- rumbo de huesito dulce de nodo
- analizador-reaccionador
- encargado de sesión
- encantamiento del rumbo de huesito dulce
- formas-tailwindcss
- carga de paquete web css
El malware, una vez agresivo, intenta evitar entornos limitados y máquinas virtuales, perfila la máquina y luego establece un canal de comando y control (C2) para proporcionar a los atacantes un shell remoto, anejo con capacidades para robar contenidos del portapapeles, registrar pulsaciones de teclas, capturar capturas de pantalla y resumir credenciales del navegador, documentos, datos de billeteras de criptomonedas y frases iniciales.
Vale la pena señalar que la distinción borrosa entre OtterCookie y BeaverTail fue documentada por Cisco Talos el mes pasado en relación con una infección que afectó a un sistema asociado con una estructura con sede en Sri Lanka posteriormente de que un adjudicatario probablemente fue engañado para ejecutar una aplicación Node.js como parte de un proceso de entrevista de trabajo traidor.
Un prospección más detallado ha determinado que los paquetes están diseñados para conectarse a una URL de Vercel codificada (“tetrismic.vercel(.)app”), que luego procede a inquirir la carga útil multiplataforma de OtterCookie desde un repositorio de GitHub controlado por un actor de amenazas. Ya no se puede alcanzar a la cuenta de GitHub que sirve como transporte de entrega, stardev0914.
“Este ritmo sostenido hace que Contagious Interview sea una de las campañas más prolíficas que explotan npm, y muestra cuán completamente los actores de amenazas norcoreanos han adaptado sus herramientas al JavaScript nuevo y a los flujos de trabajo de explicación criptocéntricos”, dijo el investigador de seguridad Kirill Boychenko.
El explicación se produce cuando los sitios web falsos con temas de evaluación creados por actores de amenazas han trabajador instrucciones de estilo ClickFix para entregar malware llamado GolangGhost (igualmente conocido como FlexibleFerret o WeaselStore) con el pretexto de solucionar problemas de cámara o micrófono. La actividad se rastrea bajo el nombre de ClickFake Interview.
Escrito en Go, el malware contacta un servidor C2 codificado y entra en un onda persistente de procesamiento de comandos para resumir información del sistema, cargar/descargar archivos, ejecutar comandos del sistema operante y resumir información de Google Chrome. La persistencia se logra escribiendo un LaunchAgent de macOS que activa su ejecución mediante un script de shell automáticamente al iniciar sesión el adjudicatario.
Igualmente se instala como parte de la condena de ataque una aplicación señuelo que muestra un mensaje traidor de golpe a la cámara de Chrome para continuar con la artimaña. Después, presenta una solicitud de contraseña estilo Chrome que captura el contenido ingresado por el adjudicatario y lo envía a una cuenta de Dropbox.
“Aunque hay cierta superposición, esta campaña es distinta de otros esquemas de trabajadores de TI de la RPDC que se centran en incorporar actores internamente de empresas legítimas bajo identidades falsas”, dijo Validin. “La entrevista contagiosa, por el contrario, está diseñada para comprometer a las personas a través de canales de quinta preparados, ejercicios de codificación maliciosos y plataformas de contratación fraudulentas, convirtiendo el proceso de solicitud de empleo en un armas”.
