El actor de amenazas norcoreano vinculado a la Entrevista contagiosa Se ha observado que la campaña fusiona algunas de las funciones de dos de sus programas de malware, lo que indica que el grupo de hackers está perfeccionando activamente su conjunto de herramientas.
Eso es según nuevos hallazgos de Cisco Talos, que afirma que las recientes campañas emprendidas por el grupo de hackers han hecho que las funciones de BeaverTail y OtterCookie se acerquen más que nunca, a pesar de que este último cuenta con un nuevo módulo para registrar las teclas y tomar capturas de pantalla.
La actividad se atribuye a un grupo de amenazas rastreado por la comunidad de ciberseguridad con los nombres CL-STA-0240, DeceptiveDevelopment, DEV #POPPER, Famous Chollima, Gwisin Gang, PurpleBravo, Tenacious Pungsan, UNC5342 y Void Dokkaebi.
El desarrollo se produce como Google Threat Intelligence Group (GTIG) y Mandiant revelada el uso por parte del actor de la amenaza de una técnica sigilosa conocida como Ocultación de éter para obtener las cargas útiles de la siguiente etapa de las cadenas de bloques BNB Smart Chain (BSC) o Ethereum, lo que básicamente convierte la infraestructura descentralizada en un servidor de comando y control (C2) resiliente. Representa el primer caso documentado de un actor de un estado-nación que utiliza el método que, de otro modo, habían adoptado los grupos de ciberdelincuencia.
Contagious Interview se refiere a una elaborada estafa de contratación que comenzó a finales de 2022, en la que los actores de amenazas norcoreanos se hicieron pasar por organizaciones de contratación para atacar a los solicitantes de empleo y los engañaron para que instalaran malware para robar información como parte de una supuesta evaluación técnica o tarea de codificación, lo que resultó en el robo de datos confidenciales y criptomonedas.
En los últimos meses, la campaña ha sufrido varios cambios, incluido el uso de las técnicas de ingeniería social de ClickFix para ofrecer cepas de malware como GolangGhost, PylangGhost, TsunamiKit, Tropidoor y AkdoorTea. Sin embargo, las familias de malware conocidas como BeaverTail, OtterCookie e InvisibleFerret son fundamentales para los ataques.
BeaverTail y OtterCookie son herramientas de malware independientes pero complementarias, con esta última visto por primera vez en ataques del mundo real en septiembre de 2024. A diferencia de BeaverTail, que funciona como robador y descargador de información, las interacciones iniciales de OtterCookie se diseñaron para contactar con un servidor remoto y buscar comandos para ejecutarlos en el host infectado.
La actividad detectada por Cisco Talos se refiere a una organización con sede en Sri Lanka. Se ha determinado que los atacantes no atacaron intencionadamente a la empresa, sino que más bien infectaron uno de sus sistemas, probablemente después de que un usuario fuera víctima de una oferta de trabajo falsa en la que se le indicaba instalar una aplicación troyanizada para Node.js llamada Chessfi alojada en Bitbucket como parte del proceso de entrevista.
Curiosamente, el software malicioso incluye una dependencia a través de un paquete llamado «node-nvm-ssh» publicado al funcionario repositorio npm el 20 de agosto de 2025, por un usuario llamado «trailer». El paquete atrajo a un total de 306 descargas , antes de que fuera derribado por los mantenedores de npm seis días después.
También vale la pena señalar que el paquete npm en cuestión es una de las 338 bibliotecas maliciosas de Node señalada a principios de esta semana por la empresa de seguridad de la cadena de suministro de software Socket como relacionada con la campaña Contagious Interview.
El paquete, una vez instalado, desencadena el comportamiento malicioso mediante un enlace posterior a la instalación en su archivo package.json que está configurado para ejecutar un script personalizado llamado «skip» para lanzar una carga útil de JavaScript (» index.js «) que, a su vez, carga otro JavaScript (» file15.js «) responsable de ejecutar el malware en fase final.
Un análisis más detallado de la herramienta utilizada en el ataque descubrió que «tenía características de BeaverTail y OtterCookie, lo que difumina la distinción entre ambas», dijeron los investigadores de seguridad Vanja Svajcer y Michael Kelley, quienes agregaron que incorporaba un nuevo módulo de registro de teclas y capturas de pantalla que utiliza paquetes npm legítimos como» oyente de claves globales de nodo «y» captura de pantalla - escritorio «para capturar las pulsaciones de teclas y tomar capturas de pantalla, respectivamente, y filtrar la información al servidor C2.
Al menos una versión de este nuevo módulo viene equipada con una función auxiliar de monitoreo del portapapeles para extraer el contenido del portapapeles. La aparición de la nueva versión de OtterCookie muestra el panorama de una herramienta que ha evolucionado desde la recopilación básica de datos hasta convertirse en un programa modular para el robo de datos y la ejecución remota de comandos.
También están presentes en el malware, cuyo nombre en código es OtterCookie v5, funciones similares a BeaverTail para enumerar los perfiles y extensiones de los navegadores, robar datos de navegadores web y carteras de criptomonedas, instalar AnyDesk para un acceso remoto persistente y descargar una puerta trasera de Python denominada InvisibleFerret.
Algunos de los otros módulos presentes en OtterCookie se enumeran a continuación:
- Módulo de shell remoto , que envía la información del sistema y el contenido del portapapeles al servidor C2 e instala el» cliente socket.io «paquete npm para conectarse a un puerto específico en el servidor OtterCookie C2 y recibir más comandos para su ejecución
- Módulo de carga de archivos , que enumera sistemáticamente todas las unidades y recorre el sistema de archivos para buscar archivos que coincidan con determinadas extensiones y patrones de nomenclatura (por ejemplo, metamask, bitcoin, backup y phrase) y subirlos al servidor C2
- Módulo robador de extensiones de criptomonedas , que extrae datos de las extensiones de monederos de criptomonedas instaladas en los navegadores Google Chrome y Brave (la lista de extensiones objetivo se superpone parcialmente con la de BeaverTail)
Además, Talos dijo que detectó el artefacto BeaverTail basado en Qt y una extensión maliciosa de Visual Studio Code que contenía código BeaverTail y OtterCookie, lo que aumenta la posibilidad de que el grupo esté experimentando con nuevos métodos de entrega de malware.
«La extensión también podría ser el resultado de la experimentación de otro actor, posiblemente incluso de un investigador, que no esté asociado con Famous Chollima, ya que esto se diferencia de sus TTP habituales», señalaron los investigadores.