https://www.cotillon-de-fete.fr/bonus-casino-acceptant-les-joueurs-belges/
Sunday, July 19, 2026

Las pruebas de codificación falsas generan malware alineado con OtterCookie oculto en imágenes de banderas SVG

TecnologíaLas pruebas de codificación falsas generan malware alineado con OtterCookie oculto en imágenes de banderas SVG

Se ha observado que los actores de amenazas norcoreanos vinculados a la campaña Contagious Interview emplean esteganografía en archivos de imágenes SVG para ocultar cargas útiles maliciosas como parte de una campaña que utiliza ofertas de trabajo falsas y desafíos de codificación.

“Cualquier usuario que ejecutara el proyecto terminó con una carga útil de cuatro etapas alineada con OTTERCOOKIE: un ladrón de credenciales de navegador y billeteras criptográficas, un ladrón de archivos, un troyano de acceso remoto (RAT) basado en Socket.IO y un ladrón de portapapeles”, dijo Elastic Security Labs en un informe compartido con The Hacker News.

Los hallazgos resaltan una vez más el continuo ataque a los desarrolladores de software por parte de piratas informáticos patrocinados por el Estado alineados con la República Popular Democrática de Corea (RPDC) con el objetivo de robar datos confidenciales y saquear carteras de criptomonedas. La actividad está siendo rastreada bajo el nombre de REF9403.

El brazo de ciberseguridad de la plataforma holandesa de búsqueda y observabilidad empresarial dijo que descubrió la campaña después de que los actores de amenazas atacaran a los miembros de su espacio de trabajo comunitario Slack con señuelos de ingeniería social para supuestas ofertas de trabajo, destacando una nueva vía de acceso inicial no documentada previamente en ataques asociados con Contagious Interview, una sofisticada operación de ingeniería social en curso desde al menos diciembre de 2022.

Los mensajes, publicados por un usuario llamado Maxwell en el canal #jobs Slack a finales de mayo de 2026, buscaban un desarrollador experimentado para ayudar a actualizar su plataforma de comercio electrónico a una “arquitectura moderna y escalable que utiliza Next.js (v14), NestJS, PostgreSQL y Auth.js” junto con la integración de Stripe.

Aquellos que expresaron interés en la oportunidad recibieron mensajes directos que les indicaban que completaran una evaluación de codificación como parte de la oferta de trabajo, una táctica estándar observada en las campañas de entrevistas contagiosas. La tarea implicó ejecutar un repositorio troyanizado que contenía malware diseñado para filtrar datos valiosos y configurar una puerta trasera Socket.IO.

Específicamente, los repositorios distribuidos como parte del esquema incorporan código completamente funcional pero también incorporan código malicioso en forma de imágenes SVG para evitar la detección.

“Si bien estos proyectos aparentemente legítimos funcionan perfectamente bien, el código malicioso se activa silenciosamente detrás de escena”, dijo Elastic. “Las cargas útiles se dividen en fragmentos base64 dentro de comentarios HTML en cada imagen de bandera SVG dentro de un directorio de activos. Estos archivos parecen ser imágenes normales de banderas de países (AE.svg, AF.svg), pero cada archivo contiene un bloque de comentarios inyectado con datos codificados en Base64”.

Luego, la carga útil se ensambla mediante un archivo JavaScript (“serverValidation.js”) presente en el repositorio. La cadena de ataque está diseñada de tal manera que el malware se ejecuta en cada inicio del servidor. Elastic dijo que las principales cargas útiles se superponen con OtterCookie, un malware multiplataforma que surgió por primera vez en septiembre de 2024.

OtterCookie “evolucionó de una herramienta básica para ejecutar comandos remotos y buscar claves criptográficas a un programa modular capaz de realizar un robo de datos más amplio con capacidad para verificar entornos de VM, instalar clientes de comunicación como socket.io para C2, filtrar información, ejecutar comandos de shell arbitrarios, cargar otros módulos para recopilar datos específicos e informar resultados”, señaló Microsoft en marzo.

El malware incorpora cuatro módulos distintos que le permiten recopilar datos de navegadores web y carteras de criptomonedas, recopilar archivos que coincidan con una lista específica de extensiones, facilitar el control remoto persistente utilizando un troyano basado en Socket.IO que puede ejecutar comandos de shell, capturar contenido del portapapeles y soltar ejecutables de Windows.

Entre los archivos recopilados por OtterCookie se incluyen extensiones de herramientas de codificación de inteligencia artificial (IA) como .claude, .cursor, .gemini, .windsurf, .pearai y .llama, lo que sugiere que el actor de amenazas está refinando activamente su arsenal para aspirar la mayor cantidad de información posible.

Vale la pena señalar que el malware también muestra algunas superposiciones funcionales con un ladrón de datos y un troyano distribuido a través de paquetes npm falsos disfrazados de herramientas Rollup polyfill, lo que sugiere que los actores de la amenaza están buscando múltiples vectores de propagación.

“Esta campaña refuerza el hecho de que los desarrolladores siguen siendo un objetivo principal, donde el compromiso de un solo individuo puede proporcionar el acceso inicial necesario para permitir ataques de gran alcance a la cadena de suministro contra organizaciones posteriores”, dijo Elastic. “El éxito de estas operaciones subraya cómo comprometer a un desarrollador individual puede proporcionar un camino hacia un impacto organizacional mucho más amplio”.

Artículos más populares