El actor de amenazas norcoreano vinculado al Entrevista contagiosa Se ha observado que esta campaña fusiona algunas de las funciones de dos de sus programas de malware, lo que indica que el rama de hackers está refinando activamente su conjunto de herramientas.
Esto es según nuevos hallazgos de Cisco Talos, que dijo que las recientes campañas emprendidas por el rama de piratería han conocido las funciones de BeaverTail y OtterCookie acercarse más que nunca, incluso cuando este extremo ha sido equipado con un nuevo módulo para registrar teclas y tomar capturas de pantalla.
La actividad se atribuye a un rama de amenazas rastreado por la comunidad de ciberseguridad bajo los apodos CL-STA-0240, DeceivedDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, PurpleBravo, Tenacious Pungsan, UNC5342 y Void Dokkaebi.
El progreso se produce cuando Google Threat Intelligence Group (GTIG) y Mandiant revelaron el uso por parte del actor de amenazas de una técnica sigilosa conocida como EtherHiding para recuperar cargas enseres de la subsiguiente etapa de las cadenas de bloques BNB Smart Chain (BSC) o Ethereum, esencialmente convirtiendo la infraestructura descentralizada en un servidor de comando y control (C2) resistente. Representa el primer caso documentado de un actor de un Estado-nación que utiliza el método que de otra modo han acogido los grupos de delitos cibernéticos.
Contagious Interview se refiere a una elaborada estafa de sustitución que comenzó cerca de de finales de 2022, en la que los actores de amenazas norcoreanos se hicieron sobrevenir por organizaciones de contratación para atacar a los solicitantes de empleo y los engañaron para que instalaran malware de robo de información como parte de una supuesta evaluación técnica o tarea de codificación, lo que resultó en el robo de datos confidenciales y criptomonedas.
En los últimos meses, la campaña ha experimentado varios cambios, incluido el rendimiento de las técnicas de ingeniería social de ClickFix para distribuir cepas de malware como GolangGhost, PylangGhost, TsunamiKit, Tropidoor y AkdoorTea. Sin bloqueo, en el centro de los ataques están las familias de malware conocidas como BeaverTail, OtterCookie e InvisibleFerret.
BeaverTail y OtterCookie son herramientas de malware independientes pero complementarias; esta última se detectó por primera vez en ataques del mundo auténtico en septiembre de 2024. A diferencia de BeaverTail, que funciona como un cleptómano y descargador de información, las interacciones iniciales de OtterCookie se diseñaron para contactar a un servidor remoto y averiguar comandos para ejecutarlos en el host comprometido.
La actividad detectada por Cisco Talos se refiere a una ordenamiento con sede en Sri Lanka. Se evalúa que la compañía no fue atacada intencionalmente por los actores de amenazas, sino que infectaron uno de sus sistemas, probablemente posteriormente de que un legatario fuera víctima de una proposición de trabajo falsa que les ordenaba instalar una aplicación troyanizada Node.js llamamiento Chessfi alojada en Bitbucket como parte del proceso de entrevista.
Curiosamente, el software taimado incluye una dependencia a través de un paquete llamado “node-nvm-ssh” publicado en el repositorio oficial de npm el 20 de agosto de 2025 por un legatario llamado “trailer”. El paquete atrajo un total de 306 descargas, antaño de que los mantenedores de npm lo eliminaran seis días posteriormente.
Todavía vale la pena señalar que el paquete npm en cuestión es una de las 338 bibliotecas de Nodos maliciosas señaladas a principios de esta semana por la empresa de seguridad de la cautiverio de suministro de software Socket como conectada a la campaña Contagious Interview.
El paquete, una vez instalado, desencadena el comportamiento taimado mediante un enlace postinstalación en su archivo package.json que está configurado para ejecutar un script personalizado llamado “skip” para iniciar una carga útil de JavaScript (“index.js”), que, a su vez, carga otro JavaScript (“file15.js”) responsable de ejecutar el malware de etapa final.
Un observación más detallado de la aparejo utilizada en el ataque encontró que “tenía características de BeaverTail y OtterCookie, desdibujando la distinción entre los dos”, dijeron los investigadores de seguridad Vanja Svajcer y Michael Kelley, y agregaron que incorporaba un nuevo módulo de registro de teclas y captura de pantalla que utiliza paquetes npm legítimos como “node-global-key-listener” y “screenshot-desktop” para capturar pulsaciones de teclas y tomar capturas de pantalla, respectivamente, y exfiltrar la información al servidor C2.
Al menos una traducción de este nuevo módulo viene equipada con una función auxiliar de monitoreo del portapapeles para desviar el contenido del portapapeles. La aparición de la nueva traducción de OtterCookie muestra una imagen de una aparejo que ha evolucionado desde la resumen de datos básica hasta un software modular para el robo de datos y la ejecución remota de comandos.
Todavía están presentes en el malware, con nombre en código OtterCookie v5, funciones similares a BeaverTail para enumerar perfiles y extensiones de navegador, robar datos de navegadores web y billeteras de criptomonedas, instalar AnyDesk para golpe remoto persistente y descargar una puerta trasera de Python conocida como InvisibleFerret.
Algunos de los otros módulos presentes en OtterCookie se enumeran a continuación:
- Módulo de shell remotoque envía información del sistema y contenido del portapapeles al servidor C2 e instala el paquete npm “socket.io-client” para conectarse a un puerto específico en el servidor OtterCookie C2 y acoger más comandos para su ejecución.
- Módulo de carga de archivosque enumera sistemáticamente todas las unidades y recorre el sistema de archivos para encontrar archivos que coincidan con ciertas extensiones y patrones de nombres (por ejemplo, metamáscara, bitcoin, copia de seguridad y frase) para cargarlos en el servidor C2.
- Módulo cleptómano de extensiones de criptomonedasque extrae datos de extensiones de billeteras de criptomonedas instaladas en los navegadores Google Chrome y Brave (la nómina de extensiones objetivo se superpone parcialmente con la de BeaverTail)
Encima, Talos dijo que detectó un artefacto BeaverTail basado en Qt y una extensión maliciosa de Visual Studio Code que contiene código BeaverTail y OtterCookie, lo que plantea la posibilidad de que el rama pueda estar experimentando con nuevos métodos de distribución de malware.
“La extensión todavía podría ser el resultado de la experimentación de otro actor, posiblemente incluso un investigador, que no esté asociado con el afamado Chollima, ya que esto se diferencia de sus TTP habituales”, señalaron los investigadores.
