【安全圈】朝鲜黑客滥用 197 个 npm 包投放新版 OtterCookie 恶意程序

关键词

网络攻击

参与“Contagious Interview（传染式面试）”行动的朝鲜威胁组织近期再次利用 npm 生态散布恶意代码，仅在上个月之后便新增 197 个恶意软件包。根据 Socket 的统计，这些软件包的下载量已超过 3.1 万次，它们携带的是融合 BeaverTail 与旧版 OtterCookie 特性的全新 OtterCookie 变种。

部分确认的“加载器”软件包包括：

bcryptjs-node
cross-sessions
json-oauth
node-tailwind
react-adparser
session-keeper
tailwind-magic
tailwindcss-forms
webpack-loadcss

这些软件包在执行后会尝试规避虚拟机与沙箱分析，对系统进行环境探查，并与攻击者建立远程控制通道。攻击者可借此获得远程 shell，并实现剪贴板窃取、键盘记录、屏幕截取，以及窃取浏览器凭证、文档、加密货币钱包数据与种子短语等能力。

安全研究社区此前注意到 OtterCookie 与 BeaverTail 之间的界线正在变得模糊，Cisco Talos 也曾披露，一名求职者在被诱导运行伪装成面试任务的 Node.js 应用后，其所在组织（总部位于斯里兰卡）的系统遭到类似感染。

进一步分析显示，这些 npm 包会连接到编码硬写的 Vercel 地址 “tetrismic.vercel[.]app”，随后从攻击者控制的 GitHub 仓库下载跨平台 OtterCookie 恶意载荷。用作投送渠道的 GitHub 账号 stardev0914 目前已无法访问。

安全研究员 Kirill Boychenko 指出，这种密集的恶意投放节奏使 Contagious Interview 成为最活跃的 npm 攻击行动之一，也反映出朝鲜黑客已全面适应现代 JavaScript 与加密货币开发生态。

与此同时，威胁组织还搭建了大量伪装成线上测评的恶意网站，通过类似 ClickFix 的伪指导方式投送另一款名为 GolangGhost（又名 FlexibleFerret 或 WeaselStore）的恶意程序，攻击活动被称为 ClickFake Interview。

该恶意程序使用 Go 语言编写，会连接硬编码的 C2 服务器，持续接受指令，执行系统命令、文件上传下载、收集系统信息，并窃取 Google Chrome 中的数据。其持久化机制通过在 macOS 写入 LaunchAgent，并用 shell 脚本在用户登录时自动运行。

攻击链中还会安装一个伪装应用，用以显示假的 Chrome 摄像头权限提示维持欺骗，随后弹出 Chrome 风格的密码输入界面，将用户输入的内容上传至 Dropbox。

安全公司 Validin 指出，这类行动虽然与其他 DPRK“隐匿 IT 从业者”行动存在交集，但本质完全不同。后者通过冒充合法员工潜伏企业内部，而 Contagious Interview 则是通过伪招聘流程、恶意编程任务与虚假招聘平台直接感染个人，将求职过程本身武器化。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！