Grupos de ameaça norte-coreanos ligados à campanha Contagious Interview continuam a inundar o registro npm com 197 novos pacotes maliciosos desde o mês passado.
De acordo com dados da Socket, essas bibliotecas foram baixadas mais de 31 mil vezes.
Elas têm como objetivo distribuir uma variante do malware OtterCookie, que combina funcionalidades do BeaverTail e versões anteriores do próprio OtterCookie.
Entre os pacotes "loader" identificados estão nomes como bcryptjs-node, cross-sessions, json-oauth, node-tailwind, react-adparser, session-keeper, tailwind-magic, tailwindcss-forms e webpack-loadcss.
Após ser executado, o malware tenta escapar de ambientes sandbox e máquinas virtuais, realiza o profiling do sistema e estabelece um canal de comando e controle (C2).
A partir daí, os invasores ganham acesso remoto via shell, com capacidade para roubar o conteúdo da área de transferência, registrar pressionamentos de tecla, capturar screenshots e coletar credenciais de navegador, documentos, dados de carteiras de criptomoedas e frases-semente.
É importante lembrar que a similaridade entre OtterCookie e BeaverTail já havia sido documentada em relatório da Cisco Talos no mês passado.
Na ocasião, o ataque comprometeu um sistema ligado a uma organização no Sri Lanka, após o usuário ser enganado a executar uma aplicação Node.js falsa, parte de um processo de entrevista de emprego fraudulento.
Análises recentes mostram que os pacotes se conectam a uma URL fixa hospedada na Vercel (“tetrismic.vercel[.]app”), usada para baixar o payload OtterCookie multiplataforma de um repositório no GitHub controlado pelos atacantes.
A conta responsável pela entrega, stardev0914, já não está mais acessível.
“O ritmo constante desta campanha faz da Contagious Interview uma das mais prolíficas explorando o npm.
Demonstra como os grupos norte-coreanos adaptaram suas ferramentas para os fluxos modernos de desenvolvimento em JavaScript e ambientes centrados em criptografia”, explicou o pesquisador de segurança Kirill Boychenko.
Paralelamente, os agentes de ameaça criaram sites falsos com temas de avaliação e usam instruções do tipo ClickFix para disseminar um malware conhecido como GolangGhost (também chamado FlexibleFerret ou WeaselStore), sob a desculpa de corrigir problemas com câmera ou microfone.
Essa atividade foi batizada de ClickFake Interview.
Escrito em Go, esse malware se conecta a um servidor C2 fixo e mantém um loop persistente para processar comandos, coletar informações do sistema, transferir arquivos, executar comandos do sistema operacional e extrair dados do Google Chrome.
Para garantir persistência, ele instala um LaunchAgent no macOS, acionado automaticamente por um script shell toda vez que o usuário faz login.
A cadeia de ataque também inclui um aplicativo falso que exibe um prompt enganoso simulando acesso à câmera via Chrome, mantendo o engano.
Em seguida, a vítima vê uma solicitação de senha no estilo Chrome, que captura os dados inseridos e os envia para uma conta no Dropbox.
“Apesar de alguns pontos em comum, essa campanha difere de outras operações ligadas ao grupo DPRK IT Worker, que costumam infiltrar agentes sob identidades falsas em empresas legítimas”, esclareceu o analista Validin.
“A Contagious Interview é, ao contrário, focada em comprometer indivíduos por meio de processos falsos de recrutamento, exercícios maliciosos de programação e plataformas fraudulentas de contratação, transformando o próprio processo seletivo numa arma.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...