從工作機會到加密貨幣盜竊:最新的朝鮮黑客活動曝光
傳染性採訪活動背後的朝鮮威脅行為者已開始結合其兩種惡意軟件菌株的功能,顯示出其工具包的不斷完善。
根據 Cisco Talos 的最新研究,該黑客組織的最新活動使 BeaverTail 和 OtterCookie 的功能更加緊密地結合在一起,OtterCookie 現在包含一個用於鍵盤記錄和捕獲屏幕截圖的新模塊。
朝鮮黑客升級了他們的遊戲
黑客現在使用 BNB 智能鍊和以太坊等區塊鏈來秘密控制他們的惡意軟件,這使得阻止他們的攻擊變得更加困難。這種名為 EtherHiding 的方法被冒充招聘人員的朝鮮黑客用來誘騙求職者在竊取敏感數據和加密貨幣等虛假工作任務期間下載惡意軟件。
最近,他們更新了他們的技巧,使用新的社會工程方法和新舊惡意軟件的混合來改進他們的攻擊。
由 Cisco Talos Group 檢測到
Cisco Talos 發現涉及一家位於斯里蘭卡的公司的可疑活動。該公司並不是專門針對的,但其中一台計算機受到了感染,很可能是因為有人接受了虛假的工作機會,並安裝了來自 Bitbucket 的名為 Chessfi 的惡意 Node.js 應用程序,作為所謂面試任務的一部分。
該惡意軟件使用了一個名為“node-nvm-ssh”的軟件包,該軟件包由一位名為“trailer”的用戶於 2025 年 8 月 20 日添加到官方 npm 庫中。該軟件包被下載了 306 次,僅六天后就被刪除。
它是與傳染性採訪騙局相關的眾多惡意 Node 庫之一。安裝後,它會運行一個隱藏腳本來啟動惡意軟件:它啟動一些 JavaScript 代碼,然後加載更多代碼來執行攻擊。
該惡意軟件名為 OtterCookie v5,具有許多危險功能。它可以查找瀏覽器配置文件和擴展,從瀏覽器和加密錢包竊取信息,安裝 AnyDesk 進行遠程控制,並下載另一個名為 InvisibleFerret 的後門程序。
OtterCookie 還包括:
-
一個遠程 shell 模塊,可將您的系統信息和剪貼板內容髮送給黑客,並允許他們向您的計算機發送新命令。
-
文件上傳模塊,用於在驅動器中搜索具有特定名稱(例如“比特幣”、“備份”或“元掩碼”)的文件,並將它們上傳給攻擊者。
-
一個從 Chrome 和 Brave 瀏覽器上的加密錢包擴展竊取數據的模塊。
