据报道,朝鲜威胁行为者正在使用名为OtterCookie的新型恶意软件来针对软件开发人员进行虚假招聘,这项活动被称为Contagious Interview。该活动至少自2022年12月以来一直活跃,旨在向开发人员传播如BeaverTail和InvisibleFerret等恶意软件。据Palo Alto Networks和NTT Security Japan的研究人员观察,OtterCookie最早在9月被部署,并在11月出现了新的变种。来源。OtterCookie通过一个加载程序操作,该程序获取JSON数据并执行JavaScript代码。它主要通过GitHub或Bitbucket等存储库中的Node.js项目或npm包进行分发,但也通过使用Qt或Electron构建的应用程序分发。一旦激活,OtterCookie就会使用Socket.IO WebSocket工具与其指挥和控制基础设施进行安全通信,并能够执行各种命令,包括用于数据窃取的命令。值得注意的是,OtterCookie具有窃取敏感信息的能力,尤其是加密货币钱包密钥。OtterCookie的9月变种包括检测和泄露以太坊私钥的功能,凸显了威胁行为者对加密货币相关数据的关注。尽管BeaverTail仍然是攻击者最常用的有效载荷,OtterCookie既可与BeaverTail一起出现,也可单独出现。
