Участники хакерских группировок из КНДР массово загружают в репозиторий npm вредоносные пакеты, маскируя распространение шпионских программ под легитимные инструменты и материалы для «тестовых заданий» на собеседованиях.
По данным компании Socket, за последний период злоумышленники добавили в npm ещё 197 вредоносных пакетов, которые суммарно скачали более 31 тысяч раз, пишет Securitylab. Эти компоненты загружают обновлённый вариант вредоноса OtterCookie, сочетающий возможности прошлых версий OtterCookie и семейства BeaverTail. Среди обнаруженных загрузчиков — bcryptjs-node, cross-sessions, json-oauth, node-tailwind, react-adparser, session-keeper, tailwind-magic, tailwindcss-forms и webpack-loadcss.
После запуска такой пакет проверяет, не работает ли он в песочнице или виртуальной машине, собирает информацию о системе и устанавливает канал управления с сервером команд. Через него операторы получают удалённый доступ к устройству, могут перехватывать буфер обмена, записывать нажатия клавиш, делать скриншоты, а также вытягивать из браузера учётные данные, документы, данные криптокошельков и сид-фразы.
Ранее специалисты Cisco Talos уже фиксировали, что границы между OtterCookie и BeaverTail размываются, на примере заражения системы организации из Шри-Ланки через поддельное Node.js-приложение, связанное с фейковым собеседованием. Текущая волна пакетов настроена на подключение к жёстко заданному адресу на платформе Vercel — «tetrismic.vercel[.]app». Оттуда загружается кроссплатформенный бинарный файл OtterCookie, размещённый в репозитории на GitHub.
Использовавшийся для доставки аккаунт stardev0914 уже недоступен, однако сама инфраструктура кампании продолжает меняться и обновляться. Аналитики, в том числе Кирилл Бойченко, обращают внимание, что участники группы быстро подстраивают инструменты под современные JavaScript-проекты и криптовалютную разработку.
Параллельно развивается связанная активность под названием ClickFake Interview. В её рамках создаются поддельные сайты с «оценочными заданиями», где под видом инструкций в стиле ClickFix предлагается «починить» веб-камеру или микрофон. В действительности жертве навязывается загрузка вредоноса GolangGhost (также известного как FlexibleFerret или WeaselStore), написанного на Go.
Программа подключается к жёстко заданному серверу управления, постоянно обрабатывает команды операторов, собирает сведения о системе, выполняет команды, работает с файлами и извлекает данные из Google Chrome. Закрепление на macOS достигается через LaunchAgent, который запускает шелл-скрипт при входе пользователя в систему.
В цепочке заражения используется и отвлекающее приложение: оно показывает поддельное окно с запросом доступа к камере от имени Chrome, а затем — «хромоподобное» окно ввода пароля. Введённые данные сразу отправляются в аккаунт в Dropbox злоумышленника, оставаясь незаметными для пользователя.