Los actores de amenazas norcoreanos detrás de la campaña Contagious Interview han seguido inundando el registro npm con 197 paquetes maliciosos más desde el mes pasado.
Según Socket, estos paquetes se han descargado más de 31.000 veces y están diseñados para ofrecer una variante de OtterCookie que reúne las características de BeaverTail y versiones anteriores de OtterCookie.
Algunos de los paquetes de «cargador» identificados se enumeran a continuación:
- nodo bcryptjs
- sesiones cruzadas
- json-oauth
- viento de cola de nodo
- analizador-reaccionador
- encargado de sesión
- magia del viento de cola
- formas-tailwindcss
- carga de paquete web css
El malware, una vez lanzado, intenta evadir entornos limitados y máquinas virtuales, perfila la máquina y luego establece un canal de comando y control (C2) para proporcionar a los atacantes un shell remoto, junto con capacidades para robar contenidos del portapapeles, registrar pulsaciones de teclas, capturar capturas de pantalla y recopilar credenciales del navegador, documentos, datos de billeteras de criptomonedas y frases iniciales.
Vale la pena señalar que la distinción borrosa entre OtterCookie y BeaverTail fue documentada por Cisco Talos el mes pasado en relación con una infección que afectó a un sistema asociado con una organización con sede en Sri Lanka después de que un usuario probablemente fue engañado para ejecutar una aplicación Node.js como parte de un proceso de entrevista de trabajo falso.
Un análisis más detallado ha determinado que los paquetes están diseñados para conectarse a una URL de Vercel codificada («tetrismic.vercel(.)app»), que luego procede a buscar la carga útil multiplataforma de OtterCookie desde un repositorio de GitHub controlado por un actor de amenazas. Ya no se puede acceder a la cuenta de GitHub que sirve como vehículo de entrega, stardev0914.
«Este ritmo sostenido hace que Contagious Interview sea una de las campañas más prolíficas que explotan npm, y muestra cuán completamente los actores de amenazas norcoreanos han adaptado sus herramientas al JavaScript moderno y a los flujos de trabajo de desarrollo criptocéntricos», dijo el investigador de seguridad Kirill Boychenko.
El desarrollo se produce cuando los sitios web falsos con temas de evaluación creados por actores de amenazas han aprovechado instrucciones de estilo ClickFix para entregar malware llamado GolangGhost (también conocido como FlexibleFerret o WeaselStore) con el pretexto de solucionar problemas de cámara o micrófono. La actividad se rastrea bajo el nombre de ClickFake Interview.
Escrito en Go, el malware contacta un servidor C2 codificado y entra en un bucle persistente de procesamiento de comandos para recopilar información del sistema, cargar/descargar archivos, ejecutar comandos del sistema operativo y recopilar información de Google Chrome. La persistencia se logra escribiendo un LaunchAgent de macOS que activa su ejecución mediante un script de shell automáticamente al iniciar sesión el usuario.
También se instala como parte de la cadena de ataque una aplicación señuelo que muestra un mensaje falso de acceso a la cámara de Chrome para continuar con la artimaña. Posteriormente, presenta una solicitud de contraseña estilo Chrome que captura el contenido ingresado por el usuario y lo envía a una cuenta de Dropbox.
«Aunque hay cierta superposición, esta campaña es distinta de otros esquemas de trabajadores de TI de la RPDC que se centran en incorporar actores dentro de empresas legítimas bajo identidades falsas», dijo Validin. «La entrevista contagiosa, por el contrario, está diseñada para comprometer a las personas a través de canales de reclutamiento preparados, ejercicios de codificación maliciosos y plataformas de contratación fraudulentas, convirtiendo el proceso de solicitud de empleo en un arma».