Исследователи из Cisco Talos зафиксировали активную эволюцию киберинструментов, используемых северокорейской хакерской группировкой. Злоумышленники объединяют функциональность двух своих семейств вредоносных программ на JavaScript, BeaverTail и OtterCookie, создавая единый модульный инструмент для кражи данных, кейлоггинга и удаленного управления. Этот процесс стирает различия между двумя программами, приводя к появлению новой, более мощной версии, получившей кодовое название OtterCookie v5.
За этими атаками стоит северокорейский субъект, известный под множеством псевдонимов, включая CL-STA-0240, DeceptiveDevelopment, DEVPOPPER, Famous Chollima, Gwisin Gang, PurpleBravo, Tenacious Pungsan, UNC5342 и Void Dokkaebi. Группа активно проводит кампанию "Contagious Interview" (Заразное собеседование), которая началась примерно в конце 2022 года.
Кампания представляет собой тщательно продуманную мошенническую схему по подбору персонала. Хакеры выдают себя за рекрутеров и обманом заставляют соискателей устанавливать вредоносное ПО под видом технического задания или тестовой задачи по программированию. Основная цель — кража конфиденциальных данных и криптовалюты. В последнее время кампания эволюционировала, используя методы социальной инженерии ClickFix и распространяя различные вредоносные программы, такие как GolangGhost, PylangGhost, TsunamiKit, Tropidoor и AkdoorTea. Однако центральными инструментами остаются BeaverTail, OtterCookie и InvisibleFerret.
Изначально BeaverTail функционировал в основном как похититель информации и загрузчик. OtterCookie, впервые замеченный в сентябре 2024 года, первоначально связывался с удаленным сервером для получения и выполнения команд. Теперь он превратился в модульную программу для кражи данных и удаленного выполнения кода, способную также загружать Python-бэкдор InvisibleFerret.
Примером атаки служит инцидент с организацией со штаб-квартирой в Шри-Ланке. Считается, что это была оппортунистическая, а не целенаправленная атака. Пользователь был скомпрометирован через поддельное предложение о работе, в рамках которого ему было предписано установить троянизированное Node.js-приложение под названием Chessfi, размещенное на платформе Bitbucket.
Ключевым элементом заражения стал вредоносный npm-пакет
Технически, усовершенствованная вредоносная программа OtterCookie v5 запускается через хук
Новая версия включает модуль для кейлоггинга и создания скриншотов, который использует легитимные npm-пакеты:
В OtterCookie v5 были интегрированы функции, ранее присущие BeaverTail. Программа сканирует профили и расширения браузеров, похищает данные из веб-браузеров и криптовалютных кошельков, устанавливает программу AnyDesk для постоянного удаленного доступа и загружает Python-бэкдор InvisibleFerret.
Новая версия также содержит дополнительные модули. Модуль удаленной оболочки отправляет системную информацию и содержимое буфера обмена на командный сервер (C2) и использует npm-пакет
Группировка также применяет передовые методы сокрытия, такие как EtherHiding, обнаруженный специалистами Google Threat Intelligence Group (GTIG) и Mandiant. Эта техника позволяет скрытно получать полезную нагрузку из блокчейнов, используя BNB Smart Chain (BSC) или Ethereum в качестве устойчивого командного сервера. Это первый задокументированный случай использования такого метода субъектом, связанным с государством; ранее он наблюдался только у киберпреступных группировок.
Аналитики Cisco Talos обнаружили признаки дальнейших экспериментов злоумышленников с методами доставки, включая артефакт BeaverTail на базе Qt и вредоносное расширение для Visual Studio Code, содержащее код из BeaverTail и OtterCookie. Однако исследователи Ванья Швайцер (Vanja Svajcer) и Майкл Келли (Michael Kelley) отмечают, что расширение для VS Code является отклонением от обычных тактик, техник и процедур (TTP) группы и может быть работой другого злоумышленника или даже исследователя безопасности.
Изображение носит иллюстративный характер
За этими атаками стоит северокорейский субъект, известный под множеством псевдонимов, включая CL-STA-0240, DeceptiveDevelopment, DEVPOPPER, Famous Chollima, Gwisin Gang, PurpleBravo, Tenacious Pungsan, UNC5342 и Void Dokkaebi. Группа активно проводит кампанию "Contagious Interview" (Заразное собеседование), которая началась примерно в конце 2022 года.
Кампания представляет собой тщательно продуманную мошенническую схему по подбору персонала. Хакеры выдают себя за рекрутеров и обманом заставляют соискателей устанавливать вредоносное ПО под видом технического задания или тестовой задачи по программированию. Основная цель — кража конфиденциальных данных и криптовалюты. В последнее время кампания эволюционировала, используя методы социальной инженерии ClickFix и распространяя различные вредоносные программы, такие как GolangGhost, PylangGhost, TsunamiKit, Tropidoor и AkdoorTea. Однако центральными инструментами остаются BeaverTail, OtterCookie и InvisibleFerret.
Изначально BeaverTail функционировал в основном как похититель информации и загрузчик. OtterCookie, впервые замеченный в сентябре 2024 года, первоначально связывался с удаленным сервером для получения и выполнения команд. Теперь он превратился в модульную программу для кражи данных и удаленного выполнения кода, способную также загружать Python-бэкдор InvisibleFerret.
Примером атаки служит инцидент с организацией со штаб-квартирой в Шри-Ланке. Считается, что это была оппортунистическая, а не целенаправленная атака. Пользователь был скомпрометирован через поддельное предложение о работе, в рамках которого ему было предписано установить троянизированное Node.js-приложение под названием Chessfi, размещенное на платформе Bitbucket.
Ключевым элементом заражения стал вредоносный npm-пакет
node-nvm-ssh, опубликованный в официальном репозитории npm пользователем "trailer" 20 августа 2025 года. За шесть дней до его удаления администраторами он был скачан 306 раз. Компания по безопасности цепочек поставок программного обеспечения Socket идентифицировала этот пакет как одну из 338 вредоносных библиотек Node, связанных с данной кампанией. Технически, усовершенствованная вредоносная программа OtterCookie v5 запускается через хук
postinstall в файле package.json, который выполняет скрипт "skip". Этот скрипт, в свою очередь, запускает основную JavaScript-нагрузку (index.js), которая загружает еще один скрипт (file15.js) для выполнения финального вредоносного кода. Новая версия включает модуль для кейлоггинга и создания скриншотов, который использует легитимные npm-пакеты:
node-global-key-listener для перехвата нажатий клавиш и screenshot-desktop для снятия скриншотов. Также имеется вспомогательная функция мониторинга буфера обмена. В OtterCookie v5 были интегрированы функции, ранее присущие BeaverTail. Программа сканирует профили и расширения браузеров, похищает данные из веб-браузеров и криптовалютных кошельков, устанавливает программу AnyDesk для постоянного удаленного доступа и загружает Python-бэкдор InvisibleFerret.
Новая версия также содержит дополнительные модули. Модуль удаленной оболочки отправляет системную информацию и содержимое буфера обмена на командный сервер (C2) и использует npm-пакет
socket.io-client для получения команд. Модуль загрузки файлов сканирует все диски в поиске файлов с именами или расширениями, содержащими слова metamask, bitcoin, backup и phrase, для их последующей кражи. Отдельный модуль нацелен на кражу расширений кошельков в браузерах Google Chrome и Brave. Группировка также применяет передовые методы сокрытия, такие как EtherHiding, обнаруженный специалистами Google Threat Intelligence Group (GTIG) и Mandiant. Эта техника позволяет скрытно получать полезную нагрузку из блокчейнов, используя BNB Smart Chain (BSC) или Ethereum в качестве устойчивого командного сервера. Это первый задокументированный случай использования такого метода субъектом, связанным с государством; ранее он наблюдался только у киберпреступных группировок.
Аналитики Cisco Talos обнаружили признаки дальнейших экспериментов злоумышленников с методами доставки, включая артефакт BeaverTail на базе Qt и вредоносное расширение для Visual Studio Code, содержащее код из BeaverTail и OtterCookie. Однако исследователи Ванья Швайцер (Vanja Svajcer) и Майкл Келли (Michael Kelley) отмечают, что расширение для VS Code является отклонением от обычных тактик, техник и процедур (TTP) группы и может быть работой другого злоумышленника или даже исследователя безопасности.
