Kuzey Kore’nin Genel Keşif Bürosu’na bağlı bir tehdit grubu olan ünlü Chollima, iki güçlü kötü amaçlı yazılım türünü entegre ederek operasyonel yeteneklerini önemli ölçüde genişletti: BeaverTail ve OtterCookie.
Bu yakınlaşma, grubun saldırı metodolojisinde kritik bir evrime işaret ediyor ve kripto para birimi ve blockchain sektörlerini yenilenmiş bir gelişmişlikle hedef alıyor.
Bu araç setlerinin birleştirilmesi, birden fazla platform ve hedef profilde geniş operasyonel esnekliği korurken Python’a olan bağımlılığı azaltan, JavaScript tabanlı kötü amaçlı yazılım dağıtımına yönelik bilinçli bir değişimi yansıtıyor.
Grubun Bulaşıcı Mülakat olarak takip edilen son kampanyası, truva atı haline getirilmiş uygulamaları dağıtmak için meşru iş arama platformlarından ve işe alım kanallarından yararlanıyor.
Son keşifler, kuruluşların görünüşte zararsız tedarik zinciri vektörleri yoluyla uzlaşmayla karşı karşıya olduğunu ve kripto para birimi temalı bir satranç platformunun ilk enfeksiyon noktası olarak hizmet ettiğini ortaya koyuyor.
Geliştiriciler Chessfi için bir Bitbucket deposunu klonlayıp tehlikeye atılan node-nvm-ssh paketini yanlışlıkla halka açık NPM depolarından çektiğinde, kötü amaçlı yük, bağımlılık çözümü yoluyla sistemlere sızdı.
Bu teknik, kimlik bilgileri hırsızlığı operasyonlarının artık sosyal mühendisliği teknik tedarik zinciri istismarıyla nasıl kusursuz bir şekilde harmanladığını gösteriyor.
Polyswarm Tehdit Müdahale Birimi analistleri, Sri Lanka merkezli bir güvenlik açığının araştırılması sırasında birleşik kötü amaçlı yazılım mimarisini tespit etti; burada kurulum sonrası komut dosyaları, görünürde meşru paket bağımlılıklarına gömülü, karartılmış JavaScript verilerini çalıştırdı.
Saldırı dizisi, hem BeaverTail hem de OtterCookie yeteneklerini kripto para birimi cüzdanlarını ve hassas belgeleri hedef alan birleşik bir bilgi çalma çerçevesinde birleştiren karmaşık modüler yapıyı ortaya çıkardı.
Teknik Yakınsama ve Yetenek Füzyonu
BeaverTail ve OtterCookie’nin entegrasyonu tesadüfi bir örtüşmeden ziyade kasıtlı bir mimari konsolidasyonu temsil ediyor.
BeaverTail, Chrome, Brave ve Edge tarayıcılarında tarayıcı profillerini numaralandırarak ve kripto para birimi cüzdan uzantılarını hedefleyerek, özellikle MetaMask, Phantom ve Solflare kurulumlarını avlayarak ilk keşif işlemlerini gerçekleştirir.
Bileşen, Python tabanlı InvisibleFerret modüllerini komut ve kontrol sunucularından 1224 numaralı bağlantı noktası üzerinden indirir ve tam yürütme yeteneklerini etkinleştirmek için hedef Windows sistemlerinde tam Python dağıtımlarını önyükler.
OtterCookie, komut yürütme ve sistem parmak izi alma için Socket.io-client aracılığıyla uzaktan kabuk erişimi sağlayan modüler uzantılar, belgeler ve kimlik bilgileri için dosya numaralandırma tarama sürücüleri ve BeaverTail’in cüzdan hedefleme mantığını yansıtan özel bir kripto para birimi uzantısı hırsızı aracılığıyla bu altyapıyı tamamlıyor.
İlk olarak Nisan 2025’te gözlemlenen yeni bir keylogging modülü, tuş vuruşu verilerini ve ekran görüntüsü görüntülerini yakalayarak, sızan bilgileri komuta altyapısına iletilmeden önce geçici dosyalarda arabelleğe alıyor.
Kötü amaçlı yazılım, dinamik kod yürütme için ortam kontrolü ve hata giderici değerlendirme mekanizmaları da dahil olmak üzere anti-analiz karşı önlemlerini uyguluyor ve 2024’ün sonlarından bu yana beş yineleme boyunca önceki HTTP çerezi tabanlı yük dağıtımından modüler dize yürütme paradigmalarına evriliyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
