Северокорейская хакерская группа, стоящая за кампанией Contagious Interview, выпустила обновленные версии вредоносного ПО OtterCookie. Версия 3 была представлена в феврале 2025 года, а версия 4 появилась в апреле 2025 года. Компания NTT Security Holdings отслеживает эту угрозу под названием "WaterPlum", хотя она также известна под другими именами: CL-STA-0240, DeceptiveDevelopment, DEVPOPPER, Famous Chollima, PurpleBravo и Tenacious Pungsan. Первые документальные свидетельства об этой угрозе были собраны NTT в 2024 году, хотя атаки наблюдались с сентября 2024 года.

Распространение OtterCookie осуществляется различными способами. Хакеры используют JavaScript-нагрузки через вредоносные npm-пакеты, троянизированные репозитории GitHub или Bitbucket, а также поддельные приложения для видеоконференций. Эти методы позволяют злоумышленникам проникать в системы жертв под видом легитимного программного обеспечения.
Версия OtterCookie v3 получила новый модуль загрузки, который отправляет файлы на внешний сервер. Этот модуль нацелен на переменные среды, изображения, документы, электронные таблицы и текстовые файлы. Особое внимание уделяется файлам, содержащим мнемонические и восстановительные фразы для криптовалютных кошельков, что указывает на финансовую мотивацию атак.
В версии OtterCookie v4 появились два новых модуля для кражи учетных данных. Первый модуль похищает учетные данные из Google Chrome, а второй извлекает данные из расширения М⃰Mask (для Chrome и Brave) и iCloud Keychain. Кроме того, добавлена возможность обнаружения виртуальных машин, включая Broadcom VMware, Oracle VirtualBox, Microsoft и QEMU. Интересно, что различные стили кодирования в модулях кражи данных предполагают участие разных разработчиков в создании вредоносного ПО.
Помимо OtterCookie, северокорейские хакеры используют и другие вредоносные программы. Среди них информационный похититель на основе Go, замаскированный под обновление драйвера Realtek ("WebCam.zip"), обманное приложение для macOS ("DriverMinUpdate.app") для сбора системных паролей. Эти инструменты являются частью активности "ClickFake Interview", названной компанией Sekoia. Другие подобные вредоносные приложения включают ChromeUpdateAlert, ChromeUpdate, CameraAccess и DriverEasy. Также используется модульное вредоносное ПО на для кражи данных из браузеров и криптовалютных кошельков.
Угроза со стороны северокорейских IT-работников становится все более серьезной. Злоумышленники (Famous Chollima/Nickel Tapestry/Wagemole) все чаще нацеливаются на Европу и Азию, расширяя свою деятельность за пределы технологического сектора. Они используют цифровые манипуляции, стоковые фотографии и генеративный ИИ для создания поддельных резюме и профилей. Для удаленного доступа применяются программы-имитаторы движений мыши, VPN-программы (в частности, Astrill VPN) и KVM через IP.
Криптовалютная биржа Kraken сообщила о попытке проникновения северокорейского хакера, использовавшего имя «Стивен Смит». В США Министерство юстиции расследовало случай с Минь Фыонг Нгок Вонг (40 лет, Мэриленд), которая признала себя виновной в мошенничестве после передачи работы северокорейскому гражданину в Китае.
Считается, что кампания Contagious Interview является частью деятельности группы Lazarus, связанной с Северной Кореей. Группе Lazarus приписывают кражу миллиарда долларов с биржи Bybit в начале года. Правительства Японии, Южной Кореи, Великобритании и США выпустили предупреждения о северокорейских IT-работниках.
Для защиты от подобных угроз рекомендуется усилить проверку личности во время процесса собеседования, регулярно обновлять информацию для HR-персонала о мошеннических тактиках и отслеживать внутренние угрозы, использование подозрительных инструментов и предупреждения о невозможных перемещениях.

Изображение носит иллюстративный характер
Распространение OtterCookie осуществляется различными способами. Хакеры используют JavaScript-нагрузки через вредоносные npm-пакеты, троянизированные репозитории GitHub или Bitbucket, а также поддельные приложения для видеоконференций. Эти методы позволяют злоумышленникам проникать в системы жертв под видом легитимного программного обеспечения.
Версия OtterCookie v3 получила новый модуль загрузки, который отправляет файлы на внешний сервер. Этот модуль нацелен на переменные среды, изображения, документы, электронные таблицы и текстовые файлы. Особое внимание уделяется файлам, содержащим мнемонические и восстановительные фразы для криптовалютных кошельков, что указывает на финансовую мотивацию атак.
В версии OtterCookie v4 появились два новых модуля для кражи учетных данных. Первый модуль похищает учетные данные из Google Chrome, а второй извлекает данные из расширения М⃰Mask (для Chrome и Brave) и iCloud Keychain. Кроме того, добавлена возможность обнаружения виртуальных машин, включая Broadcom VMware, Oracle VirtualBox, Microsoft и QEMU. Интересно, что различные стили кодирования в модулях кражи данных предполагают участие разных разработчиков в создании вредоносного ПО.
Помимо OtterCookie, северокорейские хакеры используют и другие вредоносные программы. Среди них информационный похититель на основе Go, замаскированный под обновление драйвера Realtek ("WebCam.zip"), обманное приложение для macOS ("DriverMinUpdate.app") для сбора системных паролей. Эти инструменты являются частью активности "ClickFake Interview", названной компанией Sekoia. Другие подобные вредоносные приложения включают ChromeUpdateAlert, ChromeUpdate, CameraAccess и DriverEasy. Также используется модульное вредоносное ПО на для кражи данных из браузеров и криптовалютных кошельков.
Угроза со стороны северокорейских IT-работников становится все более серьезной. Злоумышленники (Famous Chollima/Nickel Tapestry/Wagemole) все чаще нацеливаются на Европу и Азию, расширяя свою деятельность за пределы технологического сектора. Они используют цифровые манипуляции, стоковые фотографии и генеративный ИИ для создания поддельных резюме и профилей. Для удаленного доступа применяются программы-имитаторы движений мыши, VPN-программы (в частности, Astrill VPN) и KVM через IP.
Криптовалютная биржа Kraken сообщила о попытке проникновения северокорейского хакера, использовавшего имя «Стивен Смит». В США Министерство юстиции расследовало случай с Минь Фыонг Нгок Вонг (40 лет, Мэриленд), которая признала себя виновной в мошенничестве после передачи работы северокорейскому гражданину в Китае.
Считается, что кампания Contagious Interview является частью деятельности группы Lazarus, связанной с Северной Кореей. Группе Lazarus приписывают кражу миллиарда долларов с биржи Bybit в начале года. Правительства Японии, Южной Кореи, Великобритании и США выпустили предупреждения о северокорейских IT-работниках.
Для защиты от подобных угроз рекомендуется усилить проверку личности во время процесса собеседования, регулярно обновлять информацию для HR-персонала о мошеннических тактиках и отслеживать внутренние угрозы, использование подозрительных инструментов и предупреждения о невозможных перемещениях.