【安全资讯】新型‘OtterCookie’恶意软件通过假招聘信息对开发者进行后门攻击

概要：

近期，网络安全领域出现了一种名为‘OtterCookie’的新型恶意软件，黑客利用假招聘信息对软件开发者进行攻击。这一事件不仅揭示了网络攻击的复杂性，也反映了针对特定行业的网络安全威胁日益严重。

主要内容：

北朝鲜的威胁行为者在名为Contagious Interview的攻击活动中，使用了新型恶意软件OtterCookie，目标是软件开发者。根据Palo Alto Networks的研究，Contagious Interview自2022年12月以来一直活跃，黑客通过假招聘信息传播恶意软件，如BeaverTail和InvisibleFerret。NTT Security Japan的报告指出，OtterCookie于2023年9月首次出现，并在11月推出了新变种。

OtterCookie的攻击链通过一个加载器进行，该加载器获取JSON数据并将‘cookie’属性作为JavaScript代码执行。尽管BeaverTail仍是最常见的有效载荷，但OtterCookie在某些情况下与BeaverTail一起部署或单独使用。攻击者通过从GitHub或Bitbucket下载的Node.js项目或npm包感染目标，最近还使用了Qt或Electron应用程序构建的文件。

一旦在目标设备上激活，OtterCookie便通过Socket.IO WebSocket工具与其指挥控制（C2）基础设施建立安全通信，并等待命令。研究人员观察到，攻击者使用的shell命令可进行数据盗窃，包括收集加密货币钱包密钥、文档、图像等重要信息。OtterCookie的最新版本还能够提取剪贴板数据，可能包含敏感信息，显示出攻击者的深入渗透意图。开发者在求职时应谨慎验证雇主信息，并警惕在个人或工作计算机上运行要求编码测试的代码。