Северокорейские киберпреступники значительно масштабировали кампанию «Contagious Interview» («Заразное интервью»), наводнив реестр npm вредоносными пакетами для распространения обновленного программного обеспечения. Основная цель злоумышленников заключается в компрометации разработчиков через фальшивые процессы найма, мошеннические платформы и задания по написанию кода. В конечном итоге атака направлена на кражу конфиденциальных данных и криптовалютных активов у жертв, чьи рабочие процессы связаны с современным JavaScript и криптографией.
По данным платформы безопасности Socket, масштабы угрозы существенно выросли: с прошлого месяца в реестре было развернуто 197 новых вредоносных пакетов npm. Охват кампании оказался широким — зафиксировано более 31 000 загрузок этих опасных библиотек. Хакеры тщательно маскируют свои инструменты под легитимное программное обеспечение, чтобы ввести в заблуждение специалистов во время технических собеседований или тестовых заданий.
В ходе анализа были идентифицированы конкретные пакеты, используемые в качестве загрузчиков вредоносного кода. В этот список вошли
Технической основой атаки выступает обновленный вариант вредоносного ПО OtterCookie. Исследователи из Cisco Talos еще в прошлом месяце задокументировали стирание граней между OtterCookie и другим зловредом, BeaverTail. Текущая версия объединяет функции обоих инструментов. Она способна обходить песочницы и виртуальные машины, профилировать хост-систему и устанавливать канал управления (C2), предоставляя злоумышленникам удаленную оболочку (remote shell).
Цепочка заражения начинается с подключения пакета к жестко закодированному URL-адресу
Параллельно с основной атакой злоумышленники развивают вторичную кампанию под названием «ClickFake Interview». Она использует тактику в стиле ClickFix: пользователям на поддельных сайтах оценки кандидатов предлагается запустить скрипты якобы для исправления проблем с камерой или микрофоном. Жертву заставляют установить приложение-приманку, имитирующее запрос доступа к камере в Google Chrome, или вводят в заблуждение поддельным окном ввода пароля.
В рамках этой схемы развертывается вредоносное ПО GolangGhost, также известное как FlexibleFerret или WeaselStore. Написанная на языке Go программа связывается с сервером управления, запускает цикл постоянных команд, собирает системную информацию, загружает и выгружает файлы, а также похищает данные из Google Chrome. Скомпрометированные пароли и другая информация эксфильтруются в учетную запись Dropbox. Для закрепления в системе macOS зловред прописывает LaunchAgent, обеспечивающий запуск через сценарий оболочки при входе пользователя в систему.
Реальная опасность данных методов подтверждается недавним инцидентом: в прошлом месяце организация со штаб-квартирой в Шри-Ланке была заражена через фальшивое собеседование, связанное с приложением на Node.js. Исследователь безопасности Кирилл Бойченко подчеркнул устойчивый темп атак и тщательную адаптацию хакеров к современным инструментам разработки.
Фирма Validin отмечает важное различие: кампания «Contagious Interview» отличается от других схем КНДР с участием «IT-работников», которые внедряют своих людей на рабочие места. В данном случае процесс найма превращается в оружие для компрометации целей извне. Это демонстрирует эволюцию тактик северокорейских угроз, которые теперь используют сам механизм трудоустройства как вектор для кибершпионажа и финансовых краж.
Изображение носит иллюстративный характер
По данным платформы безопасности Socket, масштабы угрозы существенно выросли: с прошлого месяца в реестре было развернуто 197 новых вредоносных пакетов npm. Охват кампании оказался широким — зафиксировано более 31 000 загрузок этих опасных библиотек. Хакеры тщательно маскируют свои инструменты под легитимное программное обеспечение, чтобы ввести в заблуждение специалистов во время технических собеседований или тестовых заданий.
В ходе анализа были идентифицированы конкретные пакеты, используемые в качестве загрузчиков вредоносного кода. В этот список вошли
bcryptjs-node, cross-sessions, json-oauth, node-tailwind, react-adparser, session-keeper, tailwind-magic, tailwindcss-forms и webpack-loadcss. Использование названий, схожих с популярными инструментами, повышает вероятность того, что жертва установит пакет, не заметив подвоха. Технической основой атаки выступает обновленный вариант вредоносного ПО OtterCookie. Исследователи из Cisco Talos еще в прошлом месяце задокументировали стирание граней между OtterCookie и другим зловредом, BeaverTail. Текущая версия объединяет функции обоих инструментов. Она способна обходить песочницы и виртуальные машины, профилировать хост-систему и устанавливать канал управления (C2), предоставляя злоумышленникам удаленную оболочку (remote shell).
Цепочка заражения начинается с подключения пакета к жестко закодированному URL-адресу
tetrismic.vercel[.]app. Затем происходит загрузка кроссплатформенной полезной нагрузки OtterCookie из репозитория GitHub, принадлежащего пользователю с ником stardev0914 (на данный момент учетная запись недоступна). После активации программа начинает сбор содержимого буфера обмена, нажатий клавиш, скриншотов, учетных данных браузера, документов, а также данных криптовалютных кошельков и seed-фраз. Параллельно с основной атакой злоумышленники развивают вторичную кампанию под названием «ClickFake Interview». Она использует тактику в стиле ClickFix: пользователям на поддельных сайтах оценки кандидатов предлагается запустить скрипты якобы для исправления проблем с камерой или микрофоном. Жертву заставляют установить приложение-приманку, имитирующее запрос доступа к камере в Google Chrome, или вводят в заблуждение поддельным окном ввода пароля.
В рамках этой схемы развертывается вредоносное ПО GolangGhost, также известное как FlexibleFerret или WeaselStore. Написанная на языке Go программа связывается с сервером управления, запускает цикл постоянных команд, собирает системную информацию, загружает и выгружает файлы, а также похищает данные из Google Chrome. Скомпрометированные пароли и другая информация эксфильтруются в учетную запись Dropbox. Для закрепления в системе macOS зловред прописывает LaunchAgent, обеспечивающий запуск через сценарий оболочки при входе пользователя в систему.
Реальная опасность данных методов подтверждается недавним инцидентом: в прошлом месяце организация со штаб-квартирой в Шри-Ланке была заражена через фальшивое собеседование, связанное с приложением на Node.js. Исследователь безопасности Кирилл Бойченко подчеркнул устойчивый темп атак и тщательную адаптацию хакеров к современным инструментам разработки.
Фирма Validin отмечает важное различие: кампания «Contagious Interview» отличается от других схем КНДР с участием «IT-работников», которые внедряют своих людей на рабочие места. В данном случае процесс найма превращается в оружие для компрометации целей извне. Это демонстрирует эволюцию тактик северокорейских угроз, которые теперь используют сам механизм трудоустройства как вектор для кибершпионажа и финансовых краж.
