Nhóm tác nhân đe dọa Triều Tiên, liên quan đến chiến dịch Contagious Interview, đã được ghi nhận hợp nhất một số chức năng của hai chương trình mã độc của chúng, cho thấy nhóm tin tặc đang tích cực tinh chỉnh bộ công cụ của mình.
Theo những phát hiện mới từ Cisco Talos, các chiến dịch gần đây của nhóm tin tặc đã chứng kiến chức năng của BeaverTail và OtterCookie ngày càng gần nhau hơn, ngay cả khi OtterCookie đã được trang bị một module mới để ghi lại thao tác bàn phím (keylogging) và chụp ảnh màn hình (taking screenshots).
Hoạt động này được gán cho một nhóm đe dọa mà cộng đồng an ninh mạng theo dõi dưới các biệt danh CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, PurpleBravo, Tenacious Pungsan, UNC5342, và Void Dokkaebi.
Sự phát triển này diễn ra khi Google Threat Intelligence Group (GTIG) và Mandiant tiết lộ việc tác nhân đe dọa sử dụng một kỹ thuật lén lút được gọi là EtherHiding để lấy các payload giai đoạn tiếp theo từ các blockchain BNB Smart Chain (BSC) hoặc Ethereum, về cơ bản biến cơ sở hạ tầng phi tập trung thành một máy chủ command-and-control (C2) kiên cường. Đây là trường hợp đầu tiên được ghi nhận một tác nhân cấp quốc gia sử dụng phương pháp mà các nhóm tội phạm mạng đã áp dụng trước đó.
Contagious Interview đề cập đến một chiến dịch lừa đảo tuyển dụng tinh vi bắt đầu vào khoảng cuối năm 2022, trong đó các tác nhân đe dọa Triều Tiên mạo danh các tổ chức tuyển dụng để nhắm mục tiêu vào những người tìm việc và lừa dối họ cài đặt mã độc đánh cắp thông tin như một phần của bài kiểm tra kỹ thuật hoặc nhiệm vụ viết mã giả mạo, dẫn đến việc đánh cắp dữ liệu nhạy cảm và tiền điện tử.
Trong những tháng gần đây, chiến dịch đã trải qua nhiều thay đổi, bao gồm việc tận dụng các kỹ thuật social engineering của ClickFix để phát tán các chủng mã độc như GolangGhost, PylangGhost, TsunamiKit, Tropidoor, và AkdoorTea. Tuy nhiên, trọng tâm của các cuộc tấn công là các họ mã độc BeaverTail, OtterCookie và InvisibleFerret.
BeaverTail và OtterCookie là hai công cụ mã độc riêng biệt nhưng bổ trợ cho nhau, trong đó OtterCookie lần đầu tiên được phát hiện trong các cuộc tấn công thực tế vào tháng 9 năm 2024. Không giống như BeaverTail, hoạt động như một công cụ đánh cắp thông tin và tải xuống, những tương tác ban đầu của OtterCookie được thiết kế để liên hệ với một máy chủ từ xa và lấy các lệnh để thực thi trên máy chủ bị xâm nhập.
Hoạt động được Cisco Talos phát hiện liên quan đến một tổ chức có trụ sở tại Sri Lanka. Các nhà nghiên cứu đánh giá rằng công ty này không phải là mục tiêu cố ý của các tác nhân đe dọa, mà một trong các hệ thống của họ đã bị nhiễm độc, có thể là sau khi người dùng trở thành nạn nhân của một lời mời làm việc giả mạo hướng dẫn họ cài đặt ứng dụng Node.js bị trojan hóa có tên Chessfi được lưu trữ trên Bitbucket như một phần của quy trình phỏng vấn.
Điều thú vị là phần mềm độc hại này bao gồm một dependency thông qua một package có tên "node-nvm-ssh" được phát hành trên kho lưu trữ npm chính thức vào ngày 20 tháng 8 năm 2025, bởi một người dùng có tên "trailer." Package này đã thu hút tổng cộng 306 lượt tải xuống, trước khi bị gỡ bỏ bởi những người duy trì npm sáu ngày sau đó.
Cũng cần lưu ý rằng package npm đang được đề cập là một trong số 338 thư viện Node độc hại được công ty bảo mật chuỗi cung ứng phần mềm Socket gắn cờ vào đầu tuần này vì có liên quan đến chiến dịch Contagious Interview.
Package này, một khi được cài đặt, sẽ kích hoạt hành vi độc hại thông qua một postinstall hook trong tệp package.json của nó, được cấu hình để chạy một script tùy chỉnh có tên "skip" nhằm khởi chạy một payload JavaScript ("index.js"), và đến lượt nó, tải một JavaScript khác ("file15.js") chịu trách nhiệm thực thi mã độc giai đoạn cuối.
Phân tích thêm về công cụ được sử dụng trong cuộc tấn công đã phát hiện ra rằng "nó có các đặc điểm của BeaverTail và OtterCookie, làm mờ đi sự khác biệt giữa hai loại này," các nhà nghiên cứu bảo mật Vanja Svajcer và Michael Kelley cho biết, đồng thời bổ sung rằng nó đã tích hợp một module keylogging và screenshotting mới sử dụng các package npm hợp pháp như "node-global-key-listener" và "screenshot-desktop" để lần lượt ghi lại thao tác bàn phím và chụp ảnh màn hình, sau đó chuyển thông tin này đến máy chủ C2.
Ít nhất một phiên bản của module mới này được trang bị tính năng giám sát clipboard phụ trợ để đánh cắp nội dung clipboard. Sự xuất hiện của phiên bản OtterCookie mới vẽ nên một bức tranh về một công cụ đã phát triển từ việc thu thập dữ liệu cơ bản thành một chương trình mô-đun để đánh cắp dữ liệu và thực thi lệnh từ xa.
Cũng có mặt trong mã độc, được đặt tên là OtterCookie v5, là các chức năng tương tự BeaverTail để liệt kê cấu hình và tiện ích mở rộng trình duyệt, đánh cắp dữ liệu từ các trình duyệt web và ví tiền điện tử, cài đặt AnyDesk để truy cập từ xa liên tục, cũng như tải xuống một Python backdoor được gọi là InvisibleFerret.
Các module khác của OtterCookie
- Module remote shell, gửi thông tin hệ thống và nội dung clipboard đến máy chủ C2 và cài đặt package npm "socket.io-client" để kết nối đến một cổng cụ thể trên máy chủ C2 của OtterCookie và nhận các lệnh tiếp theo để thực thi.
- Module tải tệp lên, liệt kê có hệ thống tất cả các ổ đĩa và duyệt qua hệ thống tệp để tìm các tệp khớp với các extension và các mẫu đặt tên nhất định (ví dụ: metamask, bitcoin, backup, và phrase) để tải lên máy chủ C2.
- Module đánh cắp tiện ích mở rộng tiền điện tử, trích xuất dữ liệu từ các tiện ích mở rộng ví tiền điện tử được cài đặt trên các trình duyệt Google Chrome và Brave (danh sách các tiện ích mở rộng bị nhắm mục tiêu một phần trùng lặp với của BeaverTail).
Hơn nữa, Talos cho biết họ đã phát hiện một artifact BeaverTail dựa trên Qt và một tiện ích mở rộng Visual Studio Code độc hại chứa mã của BeaverTail và OtterCookie, làm tăng khả năng nhóm này có thể đang thử nghiệm các phương pháp phát tán mã độc mới.
"Tiện ích mở rộng này cũng có thể là kết quả của việc thử nghiệm từ một tác nhân khác, có thể là một nhà nghiên cứu, người không liên quan đến Famous Chollima, vì điều này khác biệt so với các TTPs thông thường của họ," các nhà nghiên cứu lưu ý.
