【安全圈】朝鮮黑客濫用 197 個 npm 包投放新版 OtterCookie 惡意程序

關鍵詞

網絡攻擊

參與“Contagious Interview（傳染式面試）”行動的朝鮮威脅組織近期再次利用 npm 生態散布惡意代碼，僅在上個月之后便新增 197 個惡意軟件包。根據 Socket 的統計，這些軟件包的下載量已超過 3.1 萬次，它們攜帶的是融合 BeaverTail 與舊版 OtterCookie 特性的全新 OtterCookie 變種。

部分確認的“加載器”軟件包包括：

bcryptjs-node
cross-sessions
json-oauth
node-tailwind
react-adparser
session-keeper
tailwind-magic
tailwindcss-forms
webpack-loadcss

這些軟件包在執行后會嘗試規避虛擬機與沙箱分析，對系統進行環境探查，并與攻擊者建立遠程控制通道。攻擊者可借此獲得遠程 shell，并實現剪貼板竊取、鍵盤記錄、屏幕截取，以及竊取瀏覽器憑證、文檔、加密貨幣錢包數據與種子短語等能力。

安全研究社區此前注意到 OtterCookie 與 BeaverTail 之間的界線正在變得模糊，Cisco Talos 也曾披露，一名求職者在被誘導運行偽裝成面試任務的 Node.js 應用后，其所在組織（總部位于斯里蘭卡）的系統遭到類似感染。

進一步分析顯示，這些 npm 包會連接到編碼硬寫的 Vercel 地址 “tetrismic.vercel[.]app”，隨后從攻擊者控制的 GitHub 倉庫下載跨平臺 OtterCookie 惡意載荷。用作投送渠道的 GitHub 賬號 stardev0914 目前已無法訪問。

安全研究員 Kirill Boychenko 指出，這種密集的惡意投放節奏使 Contagious Interview 成為最活躍的 npm 攻擊行動之一，也反映出朝鮮黑客已全面適應現代 JavaScript 與加密貨幣開發生態。

與此同時，威脅組織還搭建了大量偽裝成線上測評的惡意網站，通過類似 ClickFix 的偽指導方式投送另一款名為 GolangGhost（又名 FlexibleFerret 或 WeaselStore）的惡意程序，攻擊活動被稱為 ClickFake Interview。

該惡意程序使用 Go 語言編寫，會連接硬編碼的 C2 服務器，持續接受指令，執行系統命令、文件上傳下載、收集系統信息，并竊取 Google Chrome 中的數據。其持久化機制通過在 macOS 寫入 LaunchAgent，并用 shell 腳本在用戶登錄時自動運行。

攻擊鏈中還會安裝一個偽裝應用，用以顯示假的 Chrome 攝像頭權限提示維持欺騙，隨后彈出 Chrome 風格的密碼輸入界面，將用戶輸入的內容上傳至 Dropbox。

安全公司 Validin 指出，這類行動雖然與其他 DPRK“隱匿 IT 從業者”行動存在交集，但本質完全不同。后者通過冒充合法員工潛伏企業內部，而 Contagious Interview 則是通過偽招聘流程、惡意編程任務與虛假招聘平臺直接感染個人，將求職過程本身武器化。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！