El actor de amenazas norcoreano vinculado al Entrevista contagiosa Se ha observado que esta campaña fusiona algunas de las funciones de dos de sus programas de malware, lo que indica que el grupo de hackers está refinando activamente su conjunto de herramientas.
Esto es según nuevos hallazgos de Cisco Talos, que dijo que las recientes campañas emprendidas por el grupo de piratería han visto las funciones de BeaverTail y OtterCookie acercarse más que nunca, incluso cuando este último ha sido equipado con un nuevo módulo para registrar teclas y tomar capturas de pantalla.
La actividad se atribuye a un grupo de amenazas rastreado por la comunidad de ciberseguridad bajo los apodos CL-STA-0240, DeceivedDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, PurpleBravo, Tenacious Pungsan, UNC5342 y Void Dokkaebi.
El desarrollo se produce cuando Google Threat Intelligence Group (GTIG) y Mandiant revelaron el uso por parte del actor de amenazas de una técnica sigilosa conocida como EtherHiding para recuperar cargas útiles de la siguiente etapa de las cadenas de bloques BNB Smart Chain (BSC) o Ethereum, esencialmente convirtiendo la infraestructura descentralizada en un servidor de comando y control (C2) resistente. Representa el primer caso documentado de un actor de un Estado-nación que utiliza el método que de otra manera han adoptado los grupos de delitos cibernéticos.
Contagious Interview se refiere a una elaborada estafa de reclutamiento que comenzó alrededor de finales de 2022, en la que los actores de amenazas norcoreanos se hicieron pasar por organizaciones de contratación para atacar a los solicitantes de empleo y los engañaron para que instalaran malware de robo de información como parte de una supuesta evaluación técnica o tarea de codificación, lo que resultó en el robo de datos confidenciales y criptomonedas.
En los últimos meses, la campaña ha experimentado varios cambios, incluido el aprovechamiento de las técnicas de ingeniería social de ClickFix para distribuir cepas de malware como GolangGhost, PylangGhost, TsunamiKit, Tropidoor y AkdoorTea. Sin embargo, en el centro de los ataques están las familias de malware conocidas como BeaverTail, OtterCookie e InvisibleFerret.
BeaverTail y OtterCookie son herramientas de malware independientes pero complementarias; esta última se detectó por primera vez en ataques del mundo real en septiembre de 2024. A diferencia de BeaverTail, que funciona como un ladrón y descargador de información, las interacciones iniciales de OtterCookie se diseñaron para contactar a un servidor remoto y buscar comandos para ejecutarlos en el host comprometido.
La actividad detectada por Cisco Talos se refiere a una organización con sede en Sri Lanka. Se evalúa que la compañía no fue atacada intencionalmente por los actores de amenazas, sino que infectaron uno de sus sistemas, probablemente después de que un usuario fuera víctima de una oferta de trabajo falsa que les ordenaba instalar una aplicación troyanizada Node.js llamada Chessfi alojada en Bitbucket como parte del proceso de entrevista.
Curiosamente, el software malicioso incluye una dependencia a través de un paquete llamado «node-nvm-ssh» publicado en el repositorio oficial de npm el 20 de agosto de 2025 por un usuario llamado «trailer». El paquete atrajo un total de 306 descargas, antes de que los mantenedores de npm lo eliminaran seis días después.
También vale la pena señalar que el paquete npm en cuestión es una de las 338 bibliotecas de Nodos maliciosas señaladas a principios de esta semana por la empresa de seguridad de la cadena de suministro de software Socket como conectada a la campaña Contagious Interview.
El paquete, una vez instalado, desencadena el comportamiento malicioso mediante un enlace postinstalación en su archivo package.json que está configurado para ejecutar un script personalizado llamado «skip» para iniciar una carga útil de JavaScript («index.js»), que, a su vez, carga otro JavaScript («file15.js») responsable de ejecutar el malware de etapa final.
Un análisis más detallado de la herramienta utilizada en el ataque encontró que «tenía características de BeaverTail y OtterCookie, desdibujando la distinción entre los dos», dijeron los investigadores de seguridad Vanja Svajcer y Michael Kelley, y agregaron que incorporaba un nuevo módulo de registro de teclas y captura de pantalla que utiliza paquetes npm legítimos como «node-global-key-listener» y «screenshot-desktop» para capturar pulsaciones de teclas y tomar capturas de pantalla, respectivamente, y exfiltrar la información al servidor C2.
Al menos una versión de este nuevo módulo viene equipada con una función auxiliar de monitoreo del portapapeles para desviar el contenido del portapapeles. La aparición de la nueva versión de OtterCookie muestra una imagen de una herramienta que ha evolucionado desde la recopilación de datos básica hasta un programa modular para el robo de datos y la ejecución remota de comandos.
También están presentes en el malware, con nombre en código OtterCookie v5, funciones similares a BeaverTail para enumerar perfiles y extensiones de navegador, robar datos de navegadores web y billeteras de criptomonedas, instalar AnyDesk para acceso remoto persistente y descargar una puerta trasera de Python conocida como InvisibleFerret.
Algunos de los otros módulos presentes en OtterCookie se enumeran a continuación:
- Módulo de shell remotoque envía información del sistema y contenido del portapapeles al servidor C2 e instala el paquete npm «socket.io-client» para conectarse a un puerto específico en el servidor OtterCookie C2 y recibir más comandos para su ejecución.
- Módulo de carga de archivosque enumera sistemáticamente todas las unidades y recorre el sistema de archivos para encontrar archivos que coincidan con ciertas extensiones y patrones de nombres (por ejemplo, metamáscara, bitcoin, copia de seguridad y frase) para cargarlos en el servidor C2.
- Módulo ladrón de extensiones de criptomonedasque extrae datos de extensiones de billeteras de criptomonedas instaladas en los navegadores Google Chrome y Brave (la lista de extensiones objetivo se superpone parcialmente con la de BeaverTail)
Además, Talos dijo que detectó un artefacto BeaverTail basado en Qt y una extensión maliciosa de Visual Studio Code que contiene código BeaverTail y OtterCookie, lo que plantea la posibilidad de que el grupo pueda estar experimentando con nuevos métodos de distribución de malware.
«La extensión también podría ser el resultado de la experimentación de otro actor, posiblemente incluso un investigador, que no esté asociado con el famoso Chollima, ya que esto se diferencia de sus TTP habituales», señalaron los investigadores.