Хакери з Північної Кореї розповсюджують на GitHub нову шкідливу програму OtterCookie

Північнокорейські хакери активно розповсюджують на GitHub нове шкідливе програмне забезпечення під назвою OtterCookie, яке націлене на крадіжку даних розробників. Як повідомляє Bleeping Computer, потенційних жертв приваблюють фальшивими пропозиціями роботи. 

У звіті NTT Security Japan зазначається, що OtterCookie вперше помітили у вересні 2024 року, а новий варіант цього шкідливого ПЗ з’явився в листопаді. OtterCookie доставляється через завантажувач, який отримує дані JSON і виконує «cookie» як JavaScript-код.

Завантажувач заражає цілі через проекти Node.js або пакети npm, завантажені з GitHub або Bitbucket. Після активації на цільовому пристрої OtterCookie встановлює безпечний зв’язок з віддаленим сервером за допомогою інструменту Socket.IO WebSocket і очікує на команди.

Метою операції є крадіжка даних: викрадення ключів, пов’язаних із криптовалютними гаманцями, документів, зображень та іншої інформації.

«Наприклад, функція checkForSensitiveData використовувала регулярні вирази для перевірки приватних ключів Ethereum», — зазначають дослідники.

Остання версія OtterCookie також може передавати на віддалений сервер дані буфера обміну. 

Тактика хакерів доволі проста та розрахована на соціальну інженерію. Розробникам програмного забезпечення надсилають пропозицію спробувати себе в якості кандидата для роботи в американській компанії. Для перевірки технічного рівня програміста йому пропонують виконати тестове завдання, код якого викладено в репозиторії GitHub. Якщо розробник запускає код без перевірки, на його комп’ютері активуються завантажувач, подальші дії якого призводять до сканування машини та пошуку цінної інформації, пов’язаної з крипровалютними активами.