Kuzey Koreli tehdit aktörünün bağlantılı olduğu Bulaşıcı Röportaj Kampanyanın iki kötü amaçlı yazılım programının bazı işlevlerini birleştirdiği gözlemlendi, bu da bilgisayar korsanlığının aktif olarak araç setini geliştirdiğini gösteriyor.
Cisco Talos’un yeni bulgularına göre bu, bilgisayar korsanlığı grubu tarafından gerçekleştirilen son kampanyalarda BeaverTail ve OtterCookie’nin işlevlerinin her zamankinden daha fazla birbirine yaklaştığını, hatta ikincisi tuş kaydı ve ekran görüntüsü almak için yeni bir modülle donatılmış olsa bile söyledi.
Faaliyet, siber güvenlik topluluğu tarafından CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, PurpleBravo, Tenacious Pungsan, UNC5342 ve Void Dokkaebi takma adları altında takip edilen bir tehdit kümesiyle ilişkilendiriliyor.
Bu gelişme, Google Tehdit İstihbarat Grubu (GTIG) ve Mandiant’ın, tehdit aktörünün BNB Akıllı Zincir (BSC) veya Ethereum blok zincirlerinden sonraki aşama yüklerini almak için EtherHiding olarak bilinen gizli bir teknik kullandığını ve esas olarak merkezi olmayan altyapıyı esnek bir komuta ve kontrol (C2) sunucusuna dönüştürdüğünü ortaya çıkarmasıyla ortaya çıktı. Bu, bir ulus-devlet aktörünün siber suç grupları tarafından benimsenen yöntemi kullandığı belgelenen ilk vakayı temsil ediyor.
Bulaşıcı Mülakat, Kuzey Koreli tehdit aktörlerinin iş arayanları hedeflemek için işe alım kuruluşlarını taklit etmesi ve onları sözde bir teknik değerlendirme veya kodlama görevinin parçası olarak bilgi çalan kötü amaçlı yazılım yüklemeye kandırması ve bunun sonucunda hassas verilerin ve kripto para biriminin çalınmasıyla 2022 sonlarında başlayan ayrıntılı bir işe alım dolandırıcılığını ifade eder.
Son aylarda kampanya, GolangGhost, PylangGhost, TsunamiKit, Tropidoor ve AkdoorTea gibi kötü amaçlı yazılım türlerini dağıtmak için ClickFix sosyal mühendislik tekniklerinden yararlanmak da dahil olmak üzere birçok değişiklik geçirdi. Ancak saldırıların merkezinde BeaverTail, OtterCookie ve InvisibleFerret olarak bilinen kötü amaçlı yazılım aileleri bulunuyor.
BeaverTail ve OtterCookie ayrı ama tamamlayıcı kötü amaçlı yazılım araçlarıdır; ikincisi ilk olarak Eylül 2024’teki gerçek dünya saldırılarında tespit edilmiştir. Bilgi çalan ve indiren olarak işlev gören BeaverTail’den farklı olarak, OtterCookie’nin ilk etkileşimleri uzak bir sunucuyla iletişim kurmak ve güvenliği ihlal edilen ana makinede yürütülecek komutları getirmek için tasarlanmıştır.
Cisco Talos’un tespit ettiği faaliyet, merkezi Sri Lanka’da bulunan bir kuruluşla ilgili. Şirketin tehdit aktörleri tarafından kasıtlı olarak hedef alınmadığı, bunun yerine sistemlerinden birine virüs bulaştığı değerlendiriliyor; bu durum, muhtemelen bir kullanıcının görüşme sürecinin bir parçası olarak Bitbucket’te barındırılan Chessfi adlı truva atı haline getirilmiş bir Node.js uygulamasını yükleme talimatı veren sahte bir iş teklifinin kurbanı olmasından sonra gerçekleşti.
İlginç bir şekilde, kötü amaçlı yazılım, “trailer” adlı bir kullanıcı tarafından 20 Ağustos 2025’te resmi npm deposunda yayınlanan “node-nvm-ssh” adlı bir paket aracılığıyla bir bağımlılık içeriyor. Paket, altı gün sonra npm bakımcıları tarafından kaldırılmadan önce toplam 306 kez indirildi.
Ayrıca, söz konusu npm paketinin, bu hafta başında yazılım tedarik zinciri güvenlik şirketi Socket tarafından Bulaşıcı Röportaj kampanyasıyla bağlantılı olarak işaretlenen 338 kötü amaçlı Node kütüphanesinden biri olduğunu da belirtmekte fayda var.
Paket, yüklendikten sonra, bir JavaScript yükünü (“index.js”) başlatmak için “atla” adı verilen özel bir komut dosyasını çalıştıracak şekilde yapılandırılmış package.json dosyasındaki bir postinstall kancası aracılığıyla kötü amaçlı davranışı tetikler; bu da, son aşamadaki kötü amaçlı yazılımın yürütülmesinden sorumlu başka bir JavaScript’i (“file15.js”) yükler.
Güvenlik araştırmacıları Vanja Svajcer ve Michael Kelley, saldırıda kullanılan aracın daha ayrıntılı analizinin “BeaverTail ve OtterCookie özelliklerine sahip olduğunu ve ikisi arasındaki ayrımı bulanıklaştırdığını” bulduğunu belirterek, aracın “node-global-key-listener” ve “screenshot-masaüstü” gibi meşru npm paketlerini kullanan yeni bir keylogging ve ekran görüntüsü alma modülü içerdiğini ekledi. sırasıyla tuş vuruşlarını kullanın ve ekran görüntüleri alın ve bilgileri C2 sunucusuna sızdırın.
Bu yeni modülün en az bir sürümü, pano içeriğini aktarmak için yardımcı bir pano izleme özelliğiyle donatılmıştır. OtterCookie’nin yeni sürümünün ortaya çıkışı, temel veri toplamadan veri hırsızlığı ve uzaktan komut yürütmeye yönelik modüler bir programa dönüşen bir aracın resmini çiziyor.
OtterCookie v5 kod adlı kötü amaçlı yazılımda ayrıca, tarayıcı profillerini ve uzantılarını numaralandırmak, web tarayıcılarından ve kripto para cüzdanlarından veri çalmak, kalıcı uzaktan erişim için AnyDesk’i yüklemek ve ayrıca InvisibleFerret olarak adlandırılan bir Python arka kapısını indirmek için BeaverTail’e benzer işlevler de mevcut.
OtterCookie’de bulunan diğer modüllerden bazıları aşağıda listelenmiştir:
- Uzak kabuk modülüSistem bilgilerini ve pano içeriğini C2 sunucusuna gönderen ve OtterCookie C2 sunucusundaki belirli bir bağlantı noktasına bağlanmak ve yürütülmek üzere ek komutlar almak için “socket.io-client” npm paketini yükleyen .
- Dosya yükleme modülüC2 sunucusuna yüklenecek belirli uzantılar ve adlandırma kalıplarıyla (örn. metamask, bitcoin, yedekleme ve kelime öbeği) eşleşen dosyaları bulmak için tüm sürücüleri sistematik olarak numaralandıran ve dosya sistemini dolaşan .
- Kripto para birimi uzantıları çalma modülüGoogle Chrome ve Brave tarayıcılarına yüklenen kripto para cüzdanı uzantılarından veri çıkaran (hedeflenen uzantıların listesi kısmen BeaverTail’in listesiyle örtüşmektedir)
Ayrıca Talos, Qt tabanlı BeaverTail yapıtını ve BeaverTail ile OtterCookie kodunu içeren kötü amaçlı bir Visual Studio Code uzantısını tespit ettiğini, bunun da grubun yeni kötü amaçlı yazılım dağıtım yöntemlerini denediği olasılığını artırdığını söyledi.
Araştırmacılar, “Uzatma aynı zamanda Ünlü Chollima ile bağlantısı olmayan başka bir aktörün, hatta muhtemelen bir araştırmacının deneyinin bir sonucu olabilir, çünkü bu onların olağan TTP’lerinden farklı.”