朝鲜黑客通过 197 个 npm 包传播升级版 OtterCookie 恶意软件

HackerNews 编译，转载请注明出处： 发起 “传染性面试”（Contagious Interview）行动的朝鲜威胁行为者自上月以来，持续向 npm 代码仓库批量上传 197 个恶意包。 据网络安全公司 Socket 透露，这些恶意包的下载量已超 3.1 万次，其设计目的是分发 OtterCookie 恶意软件变体 —— 该变体整合了 BeaverTail 恶意软件与 OtterCookie 早期版本的核心功能。 已识别的部分 “加载器” 恶意包如下：bcryptjs-node、cross-sessions、json-oauth、node-tailwind、react-adparser、session-keeper、tailwind-magic、tailwindcss-forms、webpack-loadcss 该恶意软件启动后，会首先尝试规避沙箱与虚拟机检测、收集目标设备信息，随后建立命令与控制（C2）通道，为攻击者提供远程控制权限。其核心功能包括窃取剪贴板内容、记录键盘输入、捕获屏幕截图，以及收集浏览器凭据、文档文件、加密货币钱包数据与助记词。 值得注意的是，思科 Talos 团队上月曾报告过 OtterCookie 与 BeaverTail 功能边界模糊的现象 —— 斯里兰卡某总部机构的系统曾遭感染，推测用户是在虚假招聘面试流程中，被诱骗运行了包含恶意代码的 Node.js 应用程序。 进一步分析显示，这些恶意包会连接至硬编码的 Vercel 网址（“tetrismic.vercel [.] app”），并从攻击者控制的 GitHub 仓库中获取跨平台 OtterCookie 载荷。目前用于分发载荷的 GitHub 账号 “stardev0914” 已无法访问。 网络安全研究员基里尔・博伊琴科表示：“‘传染性面试’行动的持续高发使其成为利用 npm 仓库最猖獗的攻击活动之一，这也表明朝鲜威胁行为者已彻底将其攻击工具适配至现代 JavaScript 开发流程与加密货币相关业务场景。” 与此同时，该威胁行为者搭建的虚假评估类网站还通过 “ClickFix 式” 操作指引传播恶意软件 GolangGhost（又名 FlexibleFerret、WeaselStore），伪装成 “修复摄像头或麦克风故障” 的工具。此类活动被归类为 “ClickFake Interview” 攻击行动。 GolangGhost 恶意软件基于 Go 语言开发，运行后会连接硬编码的 C2 服务器并进入持久化命令处理循环，核心功能包括收集系统信息、上传 / 下载文件、执行操作系统命令，以及窃取谷歌浏览器数据。其持久化机制为：在 macOS 系统中写入启动代理（LaunchAgent），通过 Shell 脚本实现用户登录时自动执行。 攻击链中还包含一个诱饵应用程序：首先弹出伪造的 Chrome 浏览器摄像头授权提示以维持骗局，随后展示 Chrome 风格的密码输入框，捕获用户输入内容并发送至指定 Dropbox 账号。 网络安全公司 Validin 指出：“尽管存在部分重叠，但该行动与朝鲜其他‘IT 工作者渗透计划’存在显著区别 —— 后者主要通过虚假身份将人员嵌入合法企业，而‘传染性面试’则通过分阶段招聘流程、恶意编码测试、虚假招聘平台等方式针对个人实施攻击，本质上是将求职流程武器化。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文