从工作机会到加密货币盗窃：最新的朝鲜黑客活动曝光

传染性采访活动背后的朝鲜威胁行为者已开始结合其两种恶意软件菌株的功能，显示出其工具包的不断完善。

根据 Cisco Talos 的最新研究，该黑客组织的最新活动使 BeaverTail 和 OtterCookie 的功能更加紧密地结合在一起，OtterCookie 现在包含一个用于键盘记录和捕获屏幕截图的新模块。

朝鲜黑客升级了他们的游戏

黑客现在使用 BNB 智能链和以太坊等区块链来秘密控制他们的恶意软件，这使得阻止他们的攻击变得更加困难。这种名为 EtherHiding 的方法被冒充招聘人员的朝鲜黑客用来诱骗求职者在窃取敏感数据和加密货币等虚假工作任务期间下载恶意软件。

最近，他们更新了他们的技巧，使用新的社会工程方法和新旧恶意软件的组合来改进他们的攻击。

由 Cisco Talos Group 检测到

Cisco Talos 发现涉及一家位于斯里兰卡的公司的可疑活动。该公司并不是专门针对的，但其中一台计算机受到了感染，很可能是因为有人接受了虚假的工作机会，并安装了来自 Bitbucket 的名为 Chessfi 的恶意 Node.js 应用程序，作为所谓面试任务的一部分。

该恶意软件使用了一个名为“node-nvm-ssh”的软件包，该软件包由一位名为“trailer”的用户于 2025 年 8 月 20 日添加到官方 npm 库中。该软件包被下载了 306 次，仅六天后就被删除。

它是与传染性采访骗局相关的众多恶意 Node 库之一。安装后，它会运行一个隐藏脚本来启动恶意软件：它启动一些 JavaScript 代码，然后加载更多代码来执行攻击。

该恶意软件名为 OtterCookie v5，具有许多危险功能。它可以查找浏览器配置文件和扩展，从浏览器和加密钱包窃取信息，安装 AnyDesk 进行远程控制，并下载另一个名为 InvisibleFerret 的后门程序。

OtterCookie 还包括：

建议阅读：朝鲜黑客利用 Mac 恶意软件瞄准加密货币

• 一个远程 shell 模块，可将您的系统信息和剪贴板内容发送给黑客，并允许他们向您的计算机发送新命令。

• 文件上传模块，用于在驱动器中搜索具有特定名称（例如“比特币”、“备份”或“元掩码”）的文件，并将它们上传给攻击者。

• 一个从 Chrome 和 Brave 浏览器上的加密钱包扩展窃取数据的模块。