NTT Security Japan in un recente rapporto ha discusso della scoperta di un nuovo malware chiamato OtterCookie, utilizzato nella campagna “Contagious Interview” in corso già da tempo.
“Da novembre 2024 circa, il SOC ha osservato l’esecuzione di malware diversi da BeaverTail e InvisibleFerret nella campagna Contagious Interview. Abbiamo chiamato il malware appena osservato OtterCookie e abbiamo condotto un’indagine al riguardo“, spiegano gli analisti del SOC NTT.
Infatti questa campagna sarebbe attiva dal 2022 e secondo un rapporto pubblicato da Palo Alto Networks nel 2023, è stata attribuita a gruppi di cyber criminali nordcoreani e avrebbe come obiettivo il guadagno finanziario attraverso attacchi mirati contro sviluppatori di software con false offerte di lavoro.
Caratteristiche di OtterCookie
OtterCookie (come già visto per i malware BeaverTail e InvisibleFerret) viene distribuito tramite un loader scaricato da progetti Node.js o pacchetti npm residenti su GitHub o Bitbucket. Tuttavia, di recente sono stati utilizzate per il download anche applicazioni Qt e Electron.
Il loader in pratica recupera una struttura dati JSON remota ed esegue il codice JavaScript contenuto nella proprietà ‘cookie’ della stessa.
Successivamente OtterCookie una volta presente sul dispositivo stabilisce una comunicazione di comando e controllo (C2) utilizzando lo strumento WebSocket Socket.IO per ricevere e eseguire comandi shell (con istruzioni per la raccolta di chiavi di portafogli di criptovalute, documenti, immagini e altri dati).
Prevenzione
La scoperta di OtterCookie sottolinea l’importanza di mantenere aggiornati i sistemi di sicurezza e di essere vigili riguardo alle nuove minacce informatiche.
“Contagious Interview continua ad aggiornare attivamente i suoi metodi di attacco” concludono gli analisti, pertanto gli sviluppatori di software dovrebbero cercare di verificare sempre l’attendibilità di un potenziale datore di lavoro e diffidare di quelle offerte di reclutamento che richiedeno test di codifica come verifica skill, scaricando codice arbitrario su PC personali o aziendali.