197 вирусов в npm и «сломанная» камера. Хакеры атакуют разработчиков со всех сторон

Северокорейская вредоносная кампания Contagious Interview продолжает наращивать давление на экосистему JavaScript-разработки. Участники хакерских группировок из КНДР массово загружают в репозиторий npm вредоносные пакеты, маскируя распространение шпионских программ под легитимные инструменты и материалы для «тестовых заданий» на собеседованиях.

По данным компании Socket, за последний период злоумышленники добавили в npm ещё 197 вредоносных пакетов, которые суммарно скачали более 31 тысяч раз. Эти компоненты загружают обновлённый вариант вредоноса OtterCookie, сочетающий возможности прошлых версий OtterCookie и семейства BeaverTail. Среди обнаруженных загрузчиков — bcryptjs-node, cross-sessions, json-oauth, node-tailwind, react-adparser, session-keeper, tailwind-magic, tailwindcss-forms и webpack-loadcss.

После запуска такой пакет проверяет, не работает ли он в песочнице или виртуальной машине, собирает информацию о системе и устанавливает канал управления с сервером команд. Через него операторы получают удалённый доступ к устройству, могут перехватывать буфер обмена, записывать нажатия клавиш, делать скриншоты, а также вытягивать из браузера учётные данные, документы, данные криптокошельков и сид-фразы.

Ранее специалисты Cisco Talos уже фиксировали, что границы между OtterCookie и BeaverTail размываются, на примере заражения системы организации из Шри-Ланки через поддельное Node.js-приложение, связанное с фейковым собеседованием. Текущая волна пакетов настроена на подключение к жёстко заданному адресу на платформе Vercel — «tetrismic.vercel[.]app». Оттуда загружается кроссплатформенный бинарный файл OtterCookie, размещённый в репозитории на GitHub.

Использовавшийся для доставки аккаунт stardev0914 уже недоступен, однако сама инфраструктура кампании продолжает меняться и обновляться. Аналитики, в том числе Кирилл Бойченко, обращают внимание, что участники группы быстро подстраивают инструменты под современные JavaScript-проекты и криптовалютную разработку.

Параллельно развивается связанная активность под названием ClickFake Interview. В её рамках создаются поддельные сайты с «оценочными заданиями», где под видом инструкций в стиле ClickFix предлагается «починить» веб-камеру или микрофон. В действительности жертве навязывается загрузка вредоноса GolangGhost (также известного как FlexibleFerret или WeaselStore), написанного на Go.

Программа подключается к жёстко заданному серверу управления, постоянно обрабатывает команды операторов, собирает сведения о системе, выполняет команды, работает с файлами и извлекает данные из Google Chrome. Закрепление на macOS достигается через LaunchAgent, который запускает шелл-скрипт при входе пользователя в систему.

В цепочке заражения используется и отвлекающее приложение: оно показывает поддельное окно с запросом доступа к камере от имени Chrome, а затем — «хромоподобное» окно ввода пароля. Введённые данные сразу отправляются в аккаунт в Dropbox злоумышленника, оставаясь незаметными для пользователя.

Представители компании Validin подчёркивают, что в отличие от других схем КНДР, где фокус делается на трудоустройстве под чужими личностями в легитимные компании, Contagious Interview и ClickFake Interview нацелены на компрометацию соискателей через инсценированные рекрутинговые процессы, фиктивные задания и поддельные платформы для найма.