Cisco Talos’taki araştırmacılar, Lazarus’un Famous Chollima alt grubu tarafından yürütülen karmaşık bir kampanyayı ortaya çıkardı; saldırganlar, gizli keylogging, ekran görüntüsü yakalama ve veri sızıntısı gerçekleştirmek için karma JavaScript araçlarını (BeaverTail ve OtterCookie) kullanıyor.
Daha geniş “Bulaşıcı Mülakat” operasyonunun bir parçası olan bu faaliyet kümesi, ilk fark edildiğinden bu yana önemli ölçüde gelişti, daha önce farklı olan araç setleri arasındaki çizgileri bulanıklaştırdı ve kimlik bilgileri hırsızlığı ve gözetim için yeni modülleri ortaya çıkardı.
Yakın zamanda yaşanan bir olayda Talos, Sri Lankalı bir kuruluşta, bir kullanıcının sahte bir iş teklifini kabul etmesinden sonra kurban giden bir enfeksiyon gözlemledi. Kullanıcı, kripto para birimi bahis özelliklerine sahip web3 tabanlı bir satranç platformu olarak lanse edilen ChessFi adlı truva atı haline getirilmiş bir Node.js projesi yükledi.
NPM bağımlılıkları, meşru bir geliştirme ortamı yerine, node-nvm-ssh adlı kötü amaçlı bir paket içeriyordu; bu paket, sonuçta oldukça karmaşık bir veriyi çalıştıran bir kurulum sonrası komut dosyası zincirini tetikledi.
Bu veri, BeaverTail’in tarayıcı profili numaralandırmasını ve Python hırsızı indiricisini, yeni keylogging yetenekleri de dahil olmak üzere OtterCookie’nin JavaScript tabanlı modülleriyle birleştirdi.
Keylogging ve Ekran Görüntüsü Modülü Tanıtıldı
Talos, aynı anda tuş vuruşlarını kaydeden ve periyodik ekran görüntüleri yakalayan, daha önce belgelenmemiş bir OtterCookie modülü keşfetti.
Tuş vuruşu etkinlikleri için “node-global-key-listener”, görüntü yakalama için “screenshot-desktop” ve format dönüştürme için “sharp” Node.js paketlerini kullanan modül, tuş vuruşlarını geçici bir klasörde “1.tmp”ye ve ekran görüntülerini “2.jpeg”e yazar.
Tuş vuruşları her saniyede bir diske aktarılırken ekran görüntüleri her dört saniyede bir alınır. Bazı varyantlarda, saldırganların kopyalanan metni toplamasına olanak tanıyan pano izleme de entegre edilmiştir.
Çalınan veriler ve görüntüler, bir “/upload” uç noktası aracılığıyla TCP bağlantı noktası 1478’deki OtterCookie C2 sunucusuna yükleniyor ve bariz uyarılar vermeden gerçek zamanlı gözetimi kolaylaştırıyor.
Daha ileri analizler diğer OtterCookie özelliklerini ortaya çıkardı: ana bilgisayar platformlarını algılayan, sanal ortamları doğrulayan, sistem bilgilerini toplayan ve 1418 numaralı bağlantı noktasındaki soket.io-client üzerinden WebSocket tabanlı bir komut döngüsünü sürdüren bir uzak kabuk modülü; sürücüler arasında geçiş yapan, sistem klasörlerini filtreleyen ve belgeleri, komut dosyalarını ve cüzdan dosyalarını dışarı çıkaran bir dosya yükleme modülü; ve Chrome ve Brave profillerini hedef alan gizli bir kripto para birimi uzantısı hırsızı.
Dikkat çekici bir şekilde araştırmacılar, geliştiricilere doğrudan editör ortamlarına bulaşmak için OtterCookie kodunu yerleştiren, “İlk Katılım Yardımcısı” görünümüne bürünen kötü amaçlı bir VS Code uzantısı da buldu.
Ünlü Chollima’ya yapılan atıf, uzantı için henüz deneme niteliğinde olsa da, tehdit aktörünün çeşitli vektörlerle deneyimlerinin altını çiziyor.
İlk olarak 2023’ün ortalarında Python tabanlı InvisibleFerret çalma modülleri için hafif bir indirici olarak görülen BeaverTail, uzun süredir kimlik bilgisi toplama ve uzaktan erişim kurulumlarını kolaylaştırdı.
Zamanla Obfuscator.io aracılığıyla kod gizlemeyi benimsedi, base64 C2 URL şemalarını karıştırdı ve hatta Qt ile derlenmiş C++ varyantlarını kullandı.
Bu arada, OtterCookie’nin JavaScript kodunu getirmek için HTTP yanıt çerezlerini kullanan ilk yükleyicisi, her biri pano çalma, dosya hırsızlığı, korumalı alandan kaçınma ve şimdi Ağustos 2025’te gözlemlenen sürüm 5’te tuş günlüğü tutma ve ekran görüntüsü alma için modüller ekleyen beş sürüm halinde gelişti.
Son ChessFi saldırısında BeaverTail’in tarayıcı uzantısı hedeflemesi ve Python indirici işlevi, OtterCookie’nin JavaScript modülleriyle kusursuz bir şekilde birleşerek Windows ana bilgisayarlarında tam Python çalışma zamanına olan ihtiyacı ortadan kaldırdı.
Azaltmalar
Kuruluşlar, uygulamaların beyaz listeye alınmasını zorunlu kılarak, beklenmeyen npm bağımlılıklarını izleyerek ve hem JavaScript hem de Python yürütülebilir dosyalarını denetleyen uç nokta koruma çözümlerinden yararlanarak bu karma tehditlere karşı savunma yapabilir.
Yükleyici kodu küçüktür ve gözden kaçırılması kolaydır ve yanlış pozitif tespit riskinin yanı sıra, VirusTotal’da OtterCookie yükleyicilerinin tespitinin çok başarılı olmamasının nedeni bu olabilir.
Cisco Güvenli Uç Nokta, kötü amaçlı komut dosyalarının yürütülmesini engelleyebilir; Güvenli E-posta ve Güvenli Güvenlik Duvarı cihazları ise kimlik avı tuzaklarının ve C2 trafiğinin teslimini engelleyebilir.
Ayrıca Stealthwatch gibi ağ analizi araçları, bilinen BeaverTail ve OtterCookie C2 bağlantı noktalarına (1224, 1244, 1418, 1478) olağandışı bağlantılar konusunda uyarı verebilir.
Geliştirici ortamlarının düzenli denetimleri ve sıkı kod inceleme süreçleri, truva atına bulanmış açık kaynak projelerinin oluşturduğu riski daha da azaltacaktır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.