کمیته رکن چهارم– گروههای وابسته به کره شمالی از طریق انتشار ۱۹۷ بسته مخرب در رجیستری npm، نسخهای پیشرفته از بدافزار OtterCookie را با هدف سرقت اطلاعات شخصی و سازمانی گسترش دادهاند. این کمپین بخشی از عملیات «مصاحبهی مسری» است که با ظاهر فرآیندهای استخدامی و کدنویسی شبیهسازیشده، کاربران را فریب میدهد.
به گزارش کمیته رکن چهارم، این بستهها بیش از ۳۱ هزار بار دانلود شدهاند و پس از اجرا، تلاش میکنند با دور زدن محیطهای مجازی، یک کانال فرمان و کنترل (C2) ایجاد کرده و اطلاعاتی از جمله کلیدهای فشرده، اسناد، کیف پول رمزارز و اطلاعات مرورگر را سرقت کنند. اتصال اولیه این بدافزار به دامنهای در پلتفرم Vercel انجام شده و فایل اصلی از مخزن گیتهاب مهاجمان بارگیری میشود.
در نمونهای دیگر از این کمپین، بدافزار GolangGhost از طریق وبسایتهای جعلی و تمرینهای برنامهنویسی فریبدهنده توزیع میشود. این بدافزار با زبان Go نوشته شده و پس از نصب، اطلاعات سیستم، رمزهای عبور و فایلها را جمعآوری و به سرور مهاجم ارسال میکند. همچنین برای ماندگاری در macOS، یک LaunchAgent ایجاد کرده و از طریق رابطهای جعلی، دادههای کاربران را به سرقت میبرد.
این کمپینها که به صورت مستقیم کاربران را هدف قرار دادهاند، نمونهای از رویکردهای جدید فیشینگ شغلی با هدف نفوذ به دستگاههای شخصی و جمعآوری اطلاعات حساس هستند.
