북한의 위협 요인들이 소프트웨어 개발자를 대상으로 하는 'Contagious Interview' 캠페인에서 새로운 악성코드인 'OtterCookie'를 사용하고 있습니다. Palo Alto Networks의 연구원들에 따르면, 이 캠페인은 최소한 2022년 12월부터 활동하고 있으며, 가짜 채용 제안을 통해 BeaverTail과 InvisibleFerret 등의 악성코드를 전달합니다. NTT Security Japan의 보고서에 따르면, 이제 Contagious Interview 작전에서는 9월에 도입된 것으로 보이는 새로운 악성코드인 OtterCookie를 사용하고 있으며, 11월에는 새로운 변종이 나타났습니다.
OtterCookie는 JSON 데이터를 가져와 'cookie' 속성을 JavaScript 코드로 실행하는 로더를 통해 전달됩니다. NTT는 BeaverTail이 가장 일반적인 페이로드임에도 불구하고, OtterCookie가 BeaverTail과 함께 배포되거나 단독으로 배포된 경우가 있다고 밝혔습니다. 이 로더는 GitHub나 Bitbucket에서 다운로드한 Node.js 프로젝트나 npm 패키지를 통해 대상을 감염시킵니다. 그러나 최근에는 Qt나 Electron 애플리케이션으로 빌드된 파일도 사용되었습니다.
OtterCookie가 대상 장치에서 활성화되면, Socket[.]IO WebSocket 도구를 사용하여 명령 및 제어(C2) 인프라와 안전한 통신을 설정하고 명령을 기다립니다. 연구원들은 데이터 도난을 수행하는 쉘 명령을 관찰했으며, 이를 통해 암호화폐 지갑 키, 문서, 이미지, 그 외 가치 있는 정보를 수집합니다.
요약
- 북한의 위협 요인들이 소프트웨어 개발자를 대상으로 하는 'Contagious Interview' 캠페인에서 새로운 악성코드인 'OtterCookie'를 사용하고 있다.
- OtterCookie는 JSON 데이터를 가져와 'cookie' 속성을 JavaScript 코드로 실행하는 로더를 통해 전달된다.
- OtterCookie가 대상 장치에서 활성화되면, Socket[.]IO WebSocket 도구를 사용하여 명령 및 제어(C2) 인프라와 안전한 통신을 설정하고 명령을 기다린다.
- 연구원들은 데이터 도난을 수행하는 쉘 명령을 관찰했으며, 이를 통해 암호화폐 지갑 키, 문서, 이미지, 그 외 가치 있는 정보를 수집한다.
- 소프트웨어 개발자들은 잠재적인 고용주에 대한 정보를 확인하고, 코딩 테스트를 요구하는 채용 제안의 일환으로 개인 또는 업무용 컴퓨터에서 코드를 실행하는 것에 대해 주의해야 한다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.