De Noord-Koreaanse dreigingsactoren achter de Contagious Interview-campagne zijn het npm-register sinds vorige maand blijven overspoelen met 197 kwaadaardige pakketten.
Volgens Socket zijn deze pakketten meer dan 31.000 keer gedownload en zijn ze ontworpen om een variant van OtterCookie te leveren die de kenmerken van BeaverTail en eerdere versies van OtterCookie samenbrengt.
Enkele van de geïdentificeerde “loader” -pakketten worden hieronder vermeld –
- bcryptjs-knooppunt
- kruissessies
- json-oauth
- knooppunt-wind in de rug
- reageren-adparser
- sessie-bewaarder
- rugwind-magie
- tailwindcss-vormen
- webpack-loadcss
Eenmaal gelanceerd, probeert de malware sandboxen en virtuele machines te ontwijken, profileert de machine en zet vervolgens een command-and-control (C2)-kanaal op om de aanvallers te voorzien van een externe shell, samen met mogelijkheden om de inhoud van het klembord te stelen, toetsaanslagen te loggen, screenshots te maken en browsergegevens, documenten, cryptocurrency-portemonneegegevens en zaadzinnen te verzamelen.
Het is de moeite waard om op te merken dat het vervagende onderscheid tussen OtterCookie en BeaverTail vorige maand werd gedocumenteerd door Cisco Talos in verband met een infectie die een systeem trof dat geassocieerd was met een organisatie met het hoofdkantoor in Sri Lanka nadat een gebruiker waarschijnlijk was misleid om een Node.js-applicatie uit te voeren als onderdeel van een nep-sollicitatiegesprekproces.
Verdere analyse heeft uitgewezen dat de pakketten zijn ontworpen om verbinding te maken met een hardgecodeerde Vercel-URL (“tetrismic.vercel(.)app”), die vervolgens doorgaat met het ophalen van de platformonafhankelijke OtterCookie-payload uit een door een bedreigingsactor gecontroleerde GitHub-repository. Het GitHub-account dat als bezorgvoertuig fungeert, stardev0914, is niet langer toegankelijk.
“Dit aanhoudende tempo maakt Contagious Interview tot een van de meest productieve campagnes die npm exploiteren, en het laat zien hoe grondig Noord-Koreaanse bedreigingsactoren hun tools hebben aangepast aan modern JavaScript en cryptocentrische ontwikkelingsworkflows”, aldus beveiligingsonderzoeker Kirill Boychenko.
De ontwikkeling komt doordat websites met een nep-beoordelingsthema, gemaakt door de bedreigingsactoren, instructies in ClickFix-stijl hebben gebruikt om malware te leveren die GolangGhost wordt genoemd (ook bekend als flexibleFerret of WeaselStore) onder het voorwendsel om camera- of microfoonproblemen op te lossen. De activiteit wordt bijgehouden onder de naam ClickFake Interview.
De malware, geschreven in Go, maakt contact met een hardgecodeerde C2-server en komt terecht in een permanente opdrachtverwerkingslus om systeeminformatie te verzamelen, bestanden te uploaden/downloaden, besturingssysteemopdrachten uit te voeren en informatie uit Google Chrome te verzamelen. Doorzettingsvermogen wordt bereikt door een macOS LaunchAgent te schrijven die de uitvoering ervan activeert door middel van een shell-script automatisch wanneer de gebruiker inlogt.
Als onderdeel van de aanvalsketen is ook een lokapplicatie geïnstalleerd die een nepprompt voor toegang tot de Chrome-camera weergeeft om de list vol te houden. Vervolgens presenteert het een wachtwoordprompt in Chrome-stijl die de door de gebruiker ingevoerde inhoud vastlegt en deze naar een Dropbox-account stuurt.
“Hoewel er enige overlap is, onderscheidt deze campagne zich van andere IT Worker-programma’s van de DVK die zich richten op het inbedden van actoren binnen legitieme bedrijven onder valse identiteiten”, aldus Validin. “Contagious Interview is daarentegen ontworpen om individuen in gevaar te brengen via geënsceneerde wervingspijplijnen, kwaadwillige codeeroefeningen en frauduleuze wervingsplatforms, waardoor het sollicitatieproces zelf wordt bewapend.”
