Er is waargenomen dat Noord-Koreaanse dreigingsactoren die verband houden met de Contagious Interview-campagne steganografie in SVG-beeldbestanden gebruiken om kwaadaardige ladingen te verbergen als onderdeel van een campagne met behulp van valse vacatures en coderingsuitdagingen.
“Elke gebruiker die het project uitvoerde, kreeg uiteindelijk een payload in vier fasen, afgestemd op OTTERCOOKIE: een browserreferentie en crypto-wallet-stealer, een bestanden-stealer, een op Socket.IO gebaseerde trojan voor externe toegang (RAT) en een klembord-stealer”, aldus Elastic Security Labs in een rapport gedeeld met The Hacker News.
De bevindingen benadrukken opnieuw de voortdurende aanvallen op softwareontwikkelaars door door de staat gesponsorde hackers die banden hebben met de Democratische Volksrepubliek Korea (DPRK) met als doel gevoelige gegevens te stelen en cryptocurrency-portefeuilles te plunderen. De activiteit wordt gevolgd onder de naam REF9403.
De cyberbeveiligingsafdeling van het Nederlandse zoek- en observatieplatform voor ondernemingen zei dat het de campagne ontdekte nadat de bedreigingsactoren leden van de Slack-werkruimte van de gemeenschap hadden aangevallen met social engineering-lokmiddelen voor vermeende vacatures, waarmee een nieuwe initiële toegangsweg werd benadrukt die niet eerder was gedocumenteerd in aanvallen die verband hielden met Contagious Interview, een geavanceerde social engineering-operatie die al sinds december 2022 aan de gang is.
In de berichten, die eind mei 2026 door een gebruiker genaamd Maxwell op het #jobs Slack-kanaal werden geplaatst, werd een ervaren ontwikkelaar gezocht om te helpen bij het upgraden van hun e-commerceplatform naar een “moderne, schaalbare architectuur met behulp van Next.js (v14), NestJS, PostgreSQL en Auth.js” samen met Stripe-integratie.
Degenen die interesse toonden in de mogelijkheid werden doorverwezen naar directe berichten waarin hen werd opgedragen een codeerbeoordeling te voltooien als onderdeel van de baanaanbieding, een standaardtruc die werd waargenomen in Contagious Interview-campagnes. De opdracht omvatte het uitvoeren van een trojan-repository met malware die was ontworpen om waardevolle gegevens te exfiltreren en het configureren van een Socket.IO-achterdeur.
Concreet bevatten de repository’s die als onderdeel van het systeem worden verspreid, volledig functionele code, maar bevatten ze ook kwaadaardige code in de vorm van SVG-afbeeldingen om detectie te omzeilen.
“Hoewel deze legitiem ogende projecten prima werken, wordt de kwaadaardige code stilletjes achter de schermen geactiveerd”, aldus Elastic. “De payloads worden opgesplitst in base64-fragmenten in HTML-opmerkingen over elke SVG-vlagafbeelding in een activamap. Deze bestanden lijken normale afbeeldingen van landvlaggen (AE.svg, AF.svg), maar elk bestand bevat een geïnjecteerd commentaarblok met Base64-gecodeerde gegevens.”

De payload wordt vervolgens samengesteld door een JavaScript-bestand (“serverValidation.js”) dat aanwezig is in de repository. De aanvalsketen is zo ontworpen dat de malware wordt uitgevoerd bij elke serveropstart. Elastic zei dat de belangrijkste payload-aandelen overlappen met OtterCookie, een platformonafhankelijke malware die voor het eerst opdook in september 2024.
OtterCookie “is geëvolueerd van een basistool voor het uitvoeren van opdrachten op afstand en het zoeken naar cryptosleutels naar een modulair programma dat in staat is tot bredere gegevensdiefstal met de mogelijkheid om te controleren op VM-omgevingen, communicatieclients zoals socket.io voor C2 te installeren, informatie te exfiltreren, willekeurige shell-opdrachten uit te voeren, andere modules te laden om specifieke beoogde gegevens te verzamelen en resultaten te rapporteren”, merkte Microsoft in maart op.
De malware bevat vier verschillende modules waarmee het gegevens uit webbrowsers en portemonnees voor cryptocurrency kan verzamelen, bestanden kan verzamelen die overeenkomen met een specifieke lijst met extensies, permanente besturing op afstand mogelijk kan maken met behulp van een op Socket.IO gebaseerde trojan die shell-opdrachten kan uitvoeren, inhoud van het klembord kan vastleggen en uitvoerbare bestanden van Windows kan verwijderen.
Onder de door OtterCookie verzamelde bestanden bevinden zich extensies voor codeertools voor kunstmatige intelligentie (AI), zoals .claude, .cursor, .gemini, .windsurf, .pearai en .llama, wat erop wijst dat de bedreigingsacteur zijn arsenaal actief aan het verfijnen is om zoveel mogelijk informatie te verzamelen.
Het is vermeldenswaard dat de malware ook enkele functionele overlappingen vertoont met een data-stealer en een trojan die wordt verspreid via valse npm-pakketten die zich voordoen als Rollup polyfill-tooling, wat erop wijst dat de bedreigingsactoren meerdere vectoren voor verspreiding nastreven.
“Deze campagne versterkt dat ontwikkelaars een belangrijk doelwit blijven, waarbij het compromis van één enkel individu de initiële toegang kan bieden die nodig is om verreikende supply chain-aanvallen tegen downstream-organisaties mogelijk te maken”, aldus Elastic. “Het succes van deze operaties onderstreept hoe het compromitteren van een individuele ontwikkelaar een pad kan bieden naar een veel bredere organisatorische impact.”