2min Security

Noord-Koreaanse hackers richten nieuwe malware op softwareontwikkelaars

Noord-Koreaanse hackers richten nieuwe malware op softwareontwikkelaars

Een Noord-Koreaanse hackerscampagne, ‘Contagious Interview’, is volgens onderzoekers van cybersecuritybedrijf Palo Alto Networks in ieder geval al sinds december 2022 actief. De hackers richten zich op softwareontwikkelaars met valse vacatures. Dit om malware zoals BeaverTail en InvisibleFerret te installeren.

Een rapport van NTT Security Japan meldt dat de Contagious Interview-operatie een nieuw type malware gebruikt. Men noemt het OtterCookie. Deze malware is waarschijnlijk in september geïntroduceerd. Een nieuwe variant hiervan troffen onderzoekers in november ‘in het wild’ aan.

Aanvalsketen van OtterCookie

Net als bij aanvallen gedocumenteerd door onderzoekers van Unit42 van Palo Alto Networks, wordt OtterCookie afgeleverd via een loader. Die haalt JSON-gegevens op. En voert de ‘cookie’-eigenschap uit als JavaScript-code.

Volgens NTT blijft BeaverTail de meest voorkomende payload, maar OtterCookie wordt soms samen met BeaverTail ingezet. Of afzonderlijk gebruikt. De loader infecteert doelen via Node.js-projecten of npm-pakketten die zijn gedownload van GitHub of Bitbucket. Recent zijn echter ook bestanden gebruikt die als Qt- of Electron-applicaties zijn gebouwd.

Zodra OtterCookie actief is op het doelapparaat, legt het veilige communicatieverbindingen met zijn Command and Control (C2)-infrastructuur via de Socket.IO WebSocket-tool en wacht het op opdrachten.

De onderzoekers hebben shell-opdrachten waargenomen die gericht zijn op datadiefstal, zoals het verzamelen van sleutels van cryptowallets, documenten, afbeeldingen en andere waardevolle informatie.

“De septemberversie van OtterCookie had al ingebouwde functionaliteiten om sleutels van cryptowallets te stelen,” legt NTT uit. “Bijvoorbeeld de functie checkForSensitiveData gebruikte reguliere expressies om naar privé-sleutels van Ethereum te zoeken.” De onderzoekers merkten op dat dit in de novembervariant van de malware is aangepast om via externe shell-opdrachten te worden uitgevoerd.

De nieuwste versie van OtterCookie kan ook gegevens uit het klembord van het doelapparaat exfiltreren, wat gevoelige informatie kan bevatten.

Er werden vaak gebruikte opdrachten voor verkenning, zoals ‘ls’ en ‘cat’, gedetecteerd, wat aangeeft dat de aanvallers proberen de omgeving te onderzoeken en voorbereiden voor diepere infiltratie of laterale beweging.

Nieuwe technieken

De opkomst van nieuwe malware en de diversificatie van infectiemethoden laten zien dat de dreigingsactoren achter de Contagious Interview-campagne experimenteren met nieuwe tactieken.

Softwareontwikkelaars wordt aangeraden om informatie over potentiële werkgevers te verifiëren en voorzichtig te zijn met het uitvoeren van code op persoonlijke of werkcomputers.