Gli hacker nordcoreani hanno lanciato una nuova campagna di attacchi informatici denominata “Contagious Interview“. Questa minaccia sfrutta un sofisticato malware chiamato OtterCookie per colpire gli sviluppatori software attraverso false offerte di lavoro.
Stando a quanto scoperto dai ricercatori di Palo Alto Networks, questa campagna è attiva almeno da dicembre 2022. Nel frattempo si è evoluta nel tempo, introducendo nuovo strumenti come OtterCookie a partire da dicembre 2024. Insomma, un’altra minaccia a cui prestare attenzione.
Come funziona la nuova campagna malware delle false offerte di lavoro
Il processo di infezione della nuova campagna malware inizia con un’apparentemente innocua offerta di lavoro. Le vittime vengono contattate per partecipare a colloqui fasulli, durante i quali vengono invitate a scaricare ed eseguire un codice malevolo mascherato da software innocui, progetti Node.js e pacchetti npm.
Una volta attivato sul dispositivo della vittima, OtterCookie stabilisce una connessione sicura con i server di comando e controllo (C2) degli attaccanti, utilizzando il protocollo WebSocket Socket.IO. Da quel momento in poi, il malware è capace di eseguire una serie di azioni dannose:
- furto di dati sensibili, inclusi documenti, immagini e chiavi di portafogli di criptovalute;
- furto di identità;
- esfiltrazione dei dati presenti.
L’evoluzione di questo attacco
Bill Toulas, esperto di sicurezza informatica, commenta: “L’introduzione di OtterCookie dimostra come i gruppi di hacker nordcoreani stiano costantemente affinando le loro tattiche. Passare da malware come BeaverTail a strumenti più sofisticati come OtterCookie indica un’evoluzione preoccupante delle loro capacità“. Questo evidenzia la pericolosità della nuova campagna malware nascosta e diffusa attraverso false campagne di lavoro.
Martin Zugec, direttore tecnico di BitDefender, ha fornito alcuni suggerimenti per difendersi da questa minaccia: “Gli sviluppatori dovrebbero essere estremamente cauti quando ricevono offerte di lavoro non sollecitate, specialmente se richiedono l’esecuzione di codice sui propri dispositivi. È fondamentale verificare sempre l’autenticità dell’azienda e dell’interlocutore prima di procedere con qualsiasi test o colloquio”.
