Negli ultimi mesi, la comunità della sicurezza informatica ha assistito a una nuova ondata di attacchi supply chain condotti da attori nordcoreani, che hanno immesso ben 197 nuovi pacchetti malevoli nella popolare registry npm. Questi pacchetti, parte della campagna denominata Contagious Interview, sono stati scaricati oltre 31.000 volte e sono progettati per distribuire una variante aggiornata del malware OtterCookie, che ora integra anche funzionalità precedentemente viste in BeaverTail.

Pacchetti coinvolti e funzionalità malevole

Tra i pacchetti individuati figurano nomi apparentemente innocui come bcryptjs-node, cross-sessions, json-oauth, node-tailwind, react-adparser, session-keeper, tailwind-magic, tailwindcss-forms e webpack-loadcss. Una volta installati, questi pacchetti agiscono come loader per il malware, che tenta di evadere i controlli tramite sandbox e macchine virtuali, mappa l’ambiente e apre un canale di comando e controllo (C2). Gli aggressori possono così ottenere una shell remota, rubare contenuti della clipboard, registrare i tasti digitati, catturare screenshot e sottrarre credenziali dei browser, documenti e dati di portafogli di criptovalute.

Evoluzione e modalità di distribuzione di OtterCookie

L’evoluzione di OtterCookie e la sua fusione con BeaverTail è stata già documentata in precedenza, in particolare dopo che alcuni utenti sono stati ingannati nell’eseguire applicazioni Node.js come parte di falsi colloqui di lavoro. L’analisi dei ricercatori ha rivelato che questi pacchetti connettono a un URL Vercel hard-coded, dal quale viene scaricato il payload OtterCookie cross-platform, ospitato originariamente su un repository GitHub poi rimosso.

Altre campagne parallele e nuovi malware

La campagna Contagious Interview si distingue per la sua portata e per la capacità degli attori nordcoreani di adattare le tecniche ai moderni workflow di sviluppo JavaScript e alle esigenze del mondo crypto. Oltre a questa, sono state rilevate altre campagne parallele che, tramite siti di finti assessment e istruzioni stile ClickFix, distribuiscono un altro malware noto come GolangGhost (o FlexibleFerret/WeaselStore), sfruttando la scusa di risolvere presunti problemi di fotocamera o microfono. Questo malware, scritto in Go, instaura una persistenza su macOS attraverso l’installazione di un LaunchAgent e può rubare informazioni sensibili, inclusi dati da Google Chrome.

Strategie di attacco e differenziazione rispetto ai DPRK IT Worker

Un aspetto chiave di queste campagne è la differenziazione rispetto agli schemi tradizionali dei DPRK IT Worker, che cercano di infiltrarsi in aziende con identità false. Contagious Interview, invece, mira a colpire singoli sviluppatori attraverso pipeline di recruiting fasulle, esercizi di codice malevoli e piattaforme di assunzione fraudolente, sfruttando lo stesso processo di candidatura come vettore di attacco.