Um grupo norte-coreano vinculado à campanha Contagious Interview aprimorou suas ferramentas de ataque, integrando funcionalidades de dois de seus malwares principais.
Essa atualização foi detalhada em uma análise recente da Cisco Talos, que identificou uma convergência entre as capacidades dos malwares BeaverTail e OtterCookie, com este último incorporando um novo módulo para keylogging e captura de telas.
A atividade está associada a um cluster ameaçador monitorado pela comunidade de cibersegurança sob diversos codinomes, como CL-STA-0240, DeceptiveDevelopment, Famous Chollima e UNC5342, entre outros.
O desenvolvimento ocorre paralelamente à descoberta do Google Threat Intelligence Group (GTIG) e da Mandiant sobre o uso, pelo mesmo grupo, da técnica EtherHiding.
Essa estratégia permite que o malware busque payloads em blockchains descentralizadas, como BNB Smart Chain (BSC) e Ethereum, transformando essas infraestruturas em servidores resilientes de comando e controle (C2).
Trata-se do primeiro registro de um ator estatal empregando essa tática, até então exclusiva de grupos criminosos.
A campanha Contagious Interview, iniciada no final de 2022, consiste em um golpe sofisticado de recrutamento.
Os atacantes se passam por empresas contratantes para enganar candidatos, induzindo-os a instalar malwares roubadores de informações durante supostos testes técnicos ou tarefas de codificação. Isso resulta no furto de dados sensíveis e criptomoedas.
Recentemente, a campanha passou por mudanças, incorporando técnicas de engenharia social, como o ClickFix, para distribuir malwares como GolangGhost, PylangGhost, TsunamiKit, Tropidoor e AkdoorTea.
Contudo, os principais malwares continuam sendo BeaverTail, OtterCookie e InvisibleFerret.
BeaverTail atua como stealer de informações e downloader, enquanto OtterCookie, detectado pela primeira vez em ataques reais em setembro de 2024, inicialmente se comunicava com servidores remotos para receber comandos executados nas máquinas comprometidas.
A análise da Cisco Talos focou em uma organização no Sri Lanka, possivelmente infectada após um funcionário aceitar uma oferta falsa de emprego.
A vítima instalou um aplicativo trojanizado em Node.js chamado Chessfi, hospedado no Bitbucket, parte do suposto processo seletivo.
Curiosamente, o malware depende de um pacote chamado "node-nvm-ssh", publicado no repositório oficial npm em 20 de agosto de 2025 por um usuário chamado "trailer". Esse pacote teve 306 downloads antes de ser removido seis dias depois.
Esse é um dos 338 pacotes maliciosos relacionados à campanha identificados esta semana pela empresa de segurança de cadeias de suprimentos de software Socket.
O funcionamento malicioso ocorre via postinstall hook no arquivo package.json, que executa um script customizado chamado "skip", disparando um payload JavaScript ("index.js"), que carrega outro script ("file15.js"), responsável pelo malware final.
Os pesquisadores Vanja Svajcer e Michael Kelley explicam que o novo malware apresenta características mescladas de BeaverTail e OtterCookie, diluindo os limites entre os dois.
Além disso, incorpora um módulo de keylogging e captura de tela que utiliza pacotes legítimos, como "node-global-key-listener" e "screenshot-desktop", para registrar e exfiltrar informações ao servidor C2.
Uma das versões desse módulo monitora ainda o conteúdo da área de transferência, ampliando a capacidade de roubo de dados.
Batizado OtterCookie v5, o malware inclui funções similares às do BeaverTail, como enumeração de perfis e extensões de navegadores, roubo de dados de navegadores web e carteiras de criptomoedas, instalação do AnyDesk para acesso remoto persistente e download da backdoor em Python conhecida como InvisibleFerret.
Outros módulos identificados no OtterCookie são:
- Shell remoto: coleta informações do sistema e da área de transferência, instala o pacote npm "socket.io-client" para comunicação com o servidor C2 e recebimento de comandos.
- Upload de arquivos: percorre sistematicamente todas as unidades em busca de arquivos com extensões ou nomes relacionados a carteiras digitais (ex.: metamask, bitcoin, backup, phrase) para enviá-los ao servidor C2.
- Roubador de extensões de criptomoedas: extrai dados de extensões de carteiras instaladas nos navegadores Google Chrome e Brave, com sobreposição parcial em relação ao alvo do BeaverTail.
Adicionalmente, a Cisco Talos detectou um artefato BeaverTail baseado em Qt e uma extensão maliciosa para o Visual Studio Code que contém códigos de BeaverTail e OtterCookie. Isso indica que o grupo pode estar testando novos métodos de entrega de malware.
Os pesquisadores também consideram que essa extensão pode ser fruto da experimentação de outro ator, possivelmente um pesquisador, já que difere das táticas usuais do grupo Famous Chollima.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...