I ricercatori di NTT Security Japan hanno individuato un nuovo malware che prende di mira gli sviluppatori software. Durante la campagna, denominata Contagious Interview, vengono pubblicizzate false offerte di lavoro per distribuire OtterCookie tramite pacchetti open source o applicazioni infette. L’obiettivo è rubare numerosi dati sul computer delle vittime.
Offerte di lavoro pericolose
La campagna è attiva da oltre due anni. Gli esperti di Palo Alto Networks avevano individuato i malware BeaverTail e InvisibleFerret. Più recentemente (novembre 2024) è stato utilizzato OtterCookie. La catena di infezione è simile, così come i principali bersagli.
Gli sviluppatori software vengono contattati dai cybercriminali nordcoreani (forse tramite LinkedIn) e invitati a dimostrare le loro capacità in vista di una possibile assunzione. In particolare devono scaricare progetti Node.js o pacchetti npm (JavaScript) da GitHub o Bitbucket. Più recentemente sono state anche sfruttate applicazioni Electron e Qt.
Sul computer viene installato un loader che esegue OtterCookie. Il codice JavaScript stabilisce una connessione sicura con il server C2 (command and control) e attende la ricezione dei comandi. Quelli rilevati dai ricercatori di NTT Security Japan consentono di rubare documenti, immagini e chiavi dei wallet di criptovalute (soprattutto Ethereum e Bitcoin).
La versione più recente del malware può anche intercettare il contenuto della clipboard (appunti), come password e altre informazioni sensibili. Ciò dimostra che gli autori della campagna cercano nuove soluzioni per raggiungere i loro obiettivi. Gli sviluppatori devono prestare molta attenzione alle offerte di lavoro, soprattutto se viene chiesto il download di codice.