恶意npm包猛增:Contagious Interview活动分发新型OtterCookie恶意软件

与朝鲜相关的威胁行为者“Contagious Interview”在npm注册表中上传了197个新的恶意软件包,用于传播更新版的OtterCookie恶意软件。该活动通过社交工程和伪造项目针对区块链及Web3开发者,窃取凭证、钱包信息并提供远程访问。

Contagious Interview活动扩展,通过197个npm包传播新型OtterCookie恶意软件

网络安全公司Socket警告称,与朝鲜相关的威胁行为者新增了197个恶意npm包,以传播更新版的OtterCookie恶意软件,这是持续进行的“Contagious Interview”活动的一部分。

“Contagious Interview”活动自2023年11月开始活跃,与朝鲜有关,针对Windows、Linux和macOS上的软件开发人员。攻击者主要瞄准从事加密货币和Web3领域的开发者。

攻击者在LinkedIn等平台上伪装成招聘人员,使用社交工程技术,包括虚假的工作面试和木马化的演示项目,来传播恶意软件。其有效负载通常包括BeaverTail和OtterCookie信息窃取程序,以及InvisibleFerret远程访问木马(RAT)。

Contagious Interview活动在npm生态系统中不断扩展,国家级行为者新增了197个恶意软件包,下载量超过31,000次。

Socket发布报告称:“自我们上次报告此活动以来,它至少增加了197个恶意npm包和超过31,000次额外下载,国家支持的威胁行为者通过虚假的工作面试和‘测试任务’针对区块链和Web3开发者。”

研究人员在调查恶意npm包tailwind-magic时,发现了一个托管在Vercel上的暂存站点(tetrismic[.]vercel[.]app),该站点将他们引导至一个威胁行为者控制的GitHub账户stardev0914。该账户包含18个代码仓库。

朝鲜操作员使用他们的stardev0914 GitHub账户构建了一个完整的交付系统。他们将恶意软件存储在GitHub上,从Vercel获取最新的有效负载,并使用单独的C2服务器进行数据窃取和任务分发。至少有五个npm包(tailwind-magictailwind-nodenode-tailwindnode-tailwind-magicreact-modal-select)使用此设置来投放第二阶段的恶意负载。当受害者安装这些软件包时,代码会拉取一个OtterCookie变体,该变体检查虚拟机环境、对设备进行指纹识别,并建立长期的C2连接。它为攻击者提供了远程shell、键盘记录、剪贴板窃取、屏幕截图以及跨主要操作系统窃取凭证和钱包的能力。一些GitHub仓库充当诱饵,包括虚假的加密货币项目和一个通过误植域名假冒的Tailwind库。尽管GitHub删除了stardev0914账户,但该活动仍在不断演变,每周都会出现新的恶意npm包。

恶意npm包tailwind-magictailwind-merge的一个通过误植域名进行假冒的、被植入后门的克隆版本。虽然它像普通的Tailwind工具一样工作,但其安装后脚本会联系威胁行为者在Vercel上的服务器,并执行返回的代码,从而为攻击者在受害者的Node.js环境中提供完全的远程代码执行能力。

攻击者运行一个暂存服务器(基于GitHub构建并部署在Vercel上),该服务器在请求时返回JavaScript有效负载。npm包获取此有效负载并执行它,从而激活感染。他们的基础设施分布在GitHub(开发)、Vercel(有效负载交付)和一个单独的C2服务器(任务分发和数据收集)之间,这使他们能够轮换有效负载、定制攻击,并保持C2活动在第二阶段恶意软件启动前处于低水平。

OtterCookie有效负载充当一体化信息窃取程序和远程访问工具。它首先检查受害者是否使用虚拟机或沙箱,并对系统进行指纹识别。如果它判断主机是真实的,就会联系C2服务器、注册机器并等待任务。然后,它并行启动三个模块。一个模块每隔几秒窃取一次剪贴板数据,为攻击者提供交互式远程shell,并在Windows上添加持久性。另一个模块收集Chrome和Brave浏览器的凭证,并从数十个加密货币钱包扩展中提取数据。第三个模块记录击键、捕获所有显示器的屏幕截图、扫描整个文件系统以查找密钥、钱包和敏感文档,并将所有内容上传到C2服务器。所有流量都流向同一个IP地址,使攻击者能够耗尽数字资产并从开发者系统中掠夺高价值数据。

Contagious Interview操作员使用以加密货币为主题的GitHub仓库作为诱饵,通过恶意npm包传播恶意软件。一个克隆的Knightsbridge DEX站点(“dexproject”)嵌入了被植入后门的node-tailwind包,该包在依赖项安装期间加载并运行攻击者控制的代码。tailwind-magic仓库类似地支持一个通过误植域名假冒tailwind-merge的npm包,并从tetrismic[.]vercel[.]app获取远程JavaScript代码,使其成为OtterCookie恶意软件的加载器。其他仓库则充当诱饵加密货币项目,诱使开发者在虚假的工作任务中安装受感染的软件包。

报告总结道:“这波攻击强化了Contagious Interview作为一个系统化、工厂式操作的特性,它将npm、GitHub和Vercel视为一个组合的、可再生的初始访问渠道。在最新的集群中,我们观察到了一个完整的堆栈:多个加载器包、一个托管在Vercel上的暂存器,以及一个威胁行为者控制的用于提供OtterCookie恶意软件的GitHub账户。”

根据一份新的NVISO报告,11月中旬,Contagious Interview活动背后的朝鲜相关行为者更新了他们的策略,使用JSON存储服务(例如JSON Keeper、JSONsilo和npoint.io)来托管和通过木马化的代码项目传播恶意软件。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次