Contagious Interview
Od grudnia 2022 roku Contagious Interview, prowadzona przez północnokoreańskich cyberprzestępców, atakuje twórców oprogramowania, fałszując rekrutacyjne oferty pracy. Jak podają badacze z Palo Alto Networks, działania te mają na celu instalację złośliwego oprogramowania, takiego jak BeaverTail, InvisibleFerret oraz najnowszego szkodnika – OtterCookie.
Według raportu NTT Security Japan, OtterCookie został po raz pierwszy zauważony we wrześniu 2024 roku, a jego nowy wariant, jeszcze bardziej zaawansowany, pojawił się w listopadzie. Kampania rozwija się dynamicznie, stosując coraz bardziej wyrafinowane metody ataku.
Jak działa OtterCookie?
OtterCookie wykorzystuje łańcuch infekcji oparty na złośliwym programie ładującym, który pobiera dane w formacie JSON i wykonuje właściwość "cookie" jako kod JavaScript. Jest to innowacyjne podejście, które wyróżnia tę kampanię spośród innych ataków.
Badacze zwracają uwagę, że OtterCookie bywa wdrażany samodzielnie lub w połączeniu z innym złośliwym oprogramowaniem, jak BeaverTail. Do infekcji wykorzystuje popularne narzędzia używane przez programistów, takie jak projekty Node.js, pakiety npm oraz repozytoria kodu z GitHub i Bitbucket. W niektórych przypadkach złośliwe oprogramowanie ukrywane jest w plikach budowanych jako aplikacje Qt lub Electron.
Co potrafi OtterCookie?
Po zainfekowaniu systemu, OtterCookie nawiązuje komunikację z infrastrukturą dowodzenia i kontroli (C2) za pomocą technologii Socket.IO WebSocket. Oprogramowanie czeka na polecenia, które pozwalają na:
Zwiad systemowy: wykorzystanie poleceń takich jak "ls" i "cat" umożliwia atakującym eksplorację środowiska ofiary.
Kradzież danych: OtterCookie specjalizuje się w eksfiltrowaniu poufnych informacji, takich jak klucze kryptowalut, dokumenty czy dane przechowywane w schowku.
Eksfiltracja danych schowka: złośliwe oprogramowanie monitoruje schowek systemowy, poszukując wrażliwych informacji, takich jak hasła czy klucze dostępu.
Zdalne wykonywanie poleceń: najnowszy wariant OtterCookie umożliwia cyberprzestępcom przeprowadzanie zaawansowanych operacji poprzez zdalne polecenia powłoki.
OtterCookie – realne zagrożenie
We wrześniowej wersji OtterCookie dodano zaawansowane funkcje, takie jak kradzież kluczy kryptowalutowych za pomocą skanowania plików lokalnych. W listopadzie wprowadzono możliwość wykonywania zdalnych operacji, co sprawiło, że OtterCookie stało się bardziej elastycznym narzędziem do przeprowadzania cyberataków.
Zagrożenie dla programistów
Kampania Contagious Interview koncentruje się na twórcach oprogramowania, którzy często otrzymują fałszywe oferty pracy. Kandydaci są proszeni o uruchomienie kodu w ramach zadania rekrutacyjnego, co prowadzi do zainfekowania ich urządzeń.
To podejście jest wyjątkowo niebezpieczne, ponieważ programiści mogą nieświadomie pobrać i uruchomić złośliwe oprogramowanie w środowisku służbowym, co potencjalnie umożliwia atakującym uzyskanie dostępu do systemów firmowych.
Zalecenia Dla programistów
Eksperci ds. cyberbezpieczeństwa zalecają twórcom oprogramowania szczególną ostrożność w kontaktach z potencjalnymi pracodawcami. Weryfikacja wiarygodności ofert pracy oraz powstrzymanie się od uruchamiania niesprawdzonego kodu na urządzeniach osobistych czy służbowych to istotne środki ochrony.
OtterCookie stanowi kolejny dowód na ewolucję zagrożeń w świecie cyberbezpieczeństwa. Contagious Interview pokazuje, że cyberprzestępcy stale udoskonalają swoje narzędzia i taktyki, by skuteczniej wykorzystywać ludzką nieuwagę i zaufanie. Programiści powinni być szczególnie czujni, aby uniknąć stania się kolejną ofiarą tego zaawansowanego ataku.
