![图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科朝鲜黑客将 BeaverTail 和 OtterCookie 合并成高级 JS 恶意软件](https://www.anquan114.com/wp-content/uploads/2025/09/20250929151854327-恶意程序.png)
与”传染性面试”攻击活动相关的朝鲜威胁行为体被观察到合并了其两个恶意软件程序的部分功能,这表明该黑客组织正在积极改进其工具集。
这一结论来自思科Talos的新发现,该机构表示,在黑客组织近期的攻击活动中,BeaverTail和OtterCookie的功能比以往任何时候都更加接近,同时后者还新增了一个用于键盘记录和屏幕截图的功能模块。
该活动被归因于一个被网络安全社区以多个代号追踪的威胁集群,这些代号包括:CL-STA-0240、DeceptiveDevelopment、DEV#POPPER、Famous Chollima、Gwisin Gang、PurpleBravo、Tenacious Pungsan、UNC5342、Void Dokkaebi和WaterPlum。
这一进展出现之际,谷歌威胁情报小组和Mandiant披露,该威胁行为体使用了一种名为“EtherHiding”的隐秘技术,从BNB智能链或以太坊区块链获取下一阶段的有效载荷,实质上将去中心化基础设施变成了一个弹性的命令与控制服务器。这是首个有记录的国家级行为体使用该方法的案例,而该方法此前一直被网络犯罪集团所采用。
“传染性面试”指的是一项始于2022年底左右的精心策划的招聘骗局,朝鲜威胁行为体冒充招聘组织,针对求职者,欺骗他们安装信息窃取型恶意软件,作为所谓的技术评估或编码任务的一部分,从而导致敏感数据和加密货币被盗。
近几个月来,该攻击活动发生了几次转变,包括利用ClickFix社会工程学技术来投递恶意软件家族,如GolangGhost、PylangGhost、TsunamiKit、Tropidoor和AkdoorTea。然而,这些攻击的核心是被称为BeaverTail、OtterCookie和InvisibleFerret的恶意软件家族。
BeaverTail和OtterCookie是独立但互补的恶意软件工具,后者于2024年9月首次在真实世界的攻击中被发现。与作为信息窃取器和下载器的BeaverTail不同,OtterCookie的初始交互旨在联系远程服务器并获取在受感染主机上执行的命令。
思科Talos检测到的活动涉及一家总部位于斯里兰卡的组织。据评估,该公司并非该威胁行为体的有意目标,而是他们的一台系统可能在一名用户成为虚假工作机会的受害者后被感染,该虚假工作指示他们安装一个名为Chessfi的被木马化的Node.js应用程序(托管在Bitbucket上),作为面试过程的一部分。
有趣的是,该恶意软件包含一个通过名为”node-nvm-ssh”的包引入的依赖项,该包由名为”trailer”的用户于2025年8月20日发布到官方npm仓库。该包总共获得了306次下载,随后于六天后被npm维护者下架。
同样值得注意的是,上述npm包是软件供应链安全公司Socket本周早些时候标记的与”传染性面试”活动相关的338个恶意Node.js库之一。
该包一旦安装,就会通过其package.json文件中的一个postinstall钩子触发恶意行为,该钩子被配置为运行一个名为”skip”的自定义脚本,以启动一个JavaScript有效载荷,该有效载荷进而加载另一个负责执行最终阶段恶意软件的JavaScript文件。
对该攻击中使用的工具的进一步分析发现,”它兼具BeaverTail和OtterCookie的特征,模糊了两者之间的区别,”安全研究人员Vanja Svajcer和Michael Kelley表示,并补充说它包含了一个新的键盘记录和屏幕截图模块,该模块使用合法的npm包来分别捕获击键和进行屏幕截图,并将信息渗出到C2服务器。
该新模块的至少一个版本配备了一个辅助剪贴板监控功能,以窃取剪贴板内容。新版本OtterCookie的出现描绘了一个工具从基本数据收集演变为用于数据窃取和远程命令执行的模块化程序的图景。
该恶意软件中同样存在的功能类似于BeaverTail,用于枚举浏览器配置文件和扩展、从Web浏览器和加密货币钱包窃取数据、安装AnyDesk以实现持久远程访问,以及下载一个被称为InvisibleFerret的Python后门。
OtterCookie中存在的其他一些模块列于下文:
- 远程Shell模块:向C2服务器发送系统信息和剪贴板内容,并安装”socket.io-client” npm包以连接到OtterCookie C2服务器的特定端口,并接收待执行的进一步命令。
- 文件上传模块:系统地枚举所有驱动器并遍历文件系统,以查找匹配特定扩展名和命名模式的文件,将其上传到C2服务器。
- 加密货币扩展窃取模块:从安装在Google Chrome和Brave浏览器上的加密货币钱包扩展中提取数据。
此外,Talos表示检测到一个基于Qt的BeaverTail构件和一个包含BeaverTail和OtterCookie代码的恶意Visual Studio Code扩展,这提高了该组织可能正在试验新的恶意软件投递方法的可能性。
研究人员指出:”该扩展也可能是与Famous Chollima无关的另一行为者(甚至可能是研究人员)进行实验的结果,因为这与他们通常的战术、技术和程序不同。”
此消息披露之际,NTT Security Holdings分享了自2025年7月起与”传染性面试”活动相关部署的新恶意软件OtterCandy的详细信息,该恶意软件针对Windows、macOS和Linux系统。OtterCandy的一个早期样本于2025年2月上传到VirusTotal平台。
根据这家日本网络安全公司的说法,OtterCandy结合了OtterCookie和RATatouille的特性,后者是一种远程访问木马,曾通过2025年5月npm包”rand-user-agent”的供应链漏洞进行分发。这是首次将该攻击归因于朝鲜威胁行为体。
根据Aikido的说法,嵌入在npm包中的混淆有效载荷旨在与远程服务器建立隐秘通信通道,并渗出特定目录内的文件以及执行shell命令,后者仅针对Windows系统。
支持的完整命令列表如下:
env:在整个文件系统中搜索秘密文件名。imp:在home目录内搜索秘密文件名。pat:在当前目录内搜索与预设模式匹配的文件名。upload:将系统信息、浏览器密码、钱包文件以及来自Google Chrome和Edge的扩展数据传输到C2服务器。exec:取消正在进行的扫描或上传、上传单个文件、递归上传目录内容、更改当前目录或终止恶意软件进程。
据称,OtterCandy通过一个被追踪为”ClickFake Interview”的子集群活动分发,该活动涉及用ClickFix风格诱饵欺骗用户运行恶意命令,以修复所谓的摄像头或麦克风问题。
“NTT Security表示:”OtterCandy是一个通过Node.js实现的RAT和信息窃取器。它是结合了RATatouille和OtterCookie元素的恶意软件。OtterCandy在通过Socket.IO连接到C2服务器时接受命令。”
用于投递OtterCandy的第一阶段恶意软件名为DiggingBeaver,这是一个JavaScript有效载荷,在受害者通过Windows”运行”对话框复制并运行命令后执行。DiggingBeaver也被发现分发其他已知的ClickFake Interview恶意软件,如GolangGhost和FROSTYFERRET。
NTT Security表示,还在2025年8月观察到OtterCandy的一个新变种,该变种扩展了功能,可以从三个额外的加密货币钱包扩展中收集数据,并增强了”ss_del”命令以删除Windows注册表项以及擦除文件和目录。
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容