North Korean Hackers Deploy 197 npm Packages to Spread Updated OtterCookie Malware

Campagne de Malwares “Contagious Interview” : Exploitation du Registre npm par des Hackers Nord-Coréens

Des acteurs de menace nord-coréens ont utilisé le registre npm, une plateforme de gestion de paquets pour le langage de programmation JavaScript, pour distribuer une nouvelle version du malware OtterCookie. Cette campagne, baptisée “Contagious Interview”, a vu le déploiement de 197 paquets malveillants qui ont été téléchargés plus de 31 000 fois.

Ces paquets, conçus pour ressembler à des outils légitimes, servent de porte d’entrée à une variante d’OtterCookie, combinant des fonctionnalités d’un malware précédent, BeaverTail, et des versions antérieures d’OtterCookie. L’objectif est d’exfiltrer diverses informations sensibles des systèmes compromis.

Points Clés :

• Méthode d’Attaque : Supply chain attack via des paquets npm malveillants.
• Acteur de Menace : Groupes de hackers nord-coréens associés à la campagne “Contagious Interview”.
• Malware : Nouvelle version d’OtterCookie, intégrant des caractéristiques de BeaverTail.
• Quantité : 197 paquets npm malveillants identifiés.
• Impact : Plus de 31 000 téléchargements des paquets compromis.
• Objectif des Acteurs : Obtenir un accès distant, voler des informations confidentielles et compromettre les flux de travail de développement.

Fonctionnalités du Malware :

Une fois exécuté, le malware tente d’échapper aux environnements virtualisés, profile la machine cible et établit un canal de commande et de contrôle (C2). Il permet aux attaquants de :

• Accéder à un shell distant.
• Voler le contenu du presse-papiers.
• Enregistrer les frappes clavier (keylogging).
• Capturer des captures d’écran.
• Collecter des identifiants de navigateur.
• Récupérer des documents.
• Voler des données de portefeuilles de cryptomonnaies et des phrases de récupération (seed phrases).

Le malware se connecte à une URL Vercel codée en dur (“tetrismic.vercel[.]app”) qui récupère ensuite la charge utile OtterCookie depuis un dépôt GitHub contrôlé par les attaquants. Le compte GitHub utilisé pour la distribution (stardev0914) n’est plus accessible.

Vulnérabilités (pas de CVE spécifiques mentionnés dans l’article) :

L’article ne détaille pas de vulnérabilités techniques spécifiques avec des identifiants CVE pour ces paquets. L’exploitation repose sur la confiance accordée aux paquets du registre npm et sur l’ingénierie sociale pour inciter les développeurs à les télécharger et à les exécuter.

Recommandations :

Bien que l’article ne fournisse pas de liste exhaustive de recommandations, les actions suivantes sont implicitement suggérées par la nature de l’attaque :

• Vérification des Dépendances : Examiner attentivement les dépendances utilisées dans les projets, en particulier celles provenant de sources potentiellement non fiables ou peu connues.
• Sécurité de la Chaîne d’Approvisionnement Logicielle : Mettre en place des politiques de sécurité robustes pour la gestion et la validation des paquets tiers.
• Méfiance face aux Processus de Recrutement Suspects : Être vigilant face aux offres d’emploi, aux entretiens techniques simulés et aux exercices de codage qui semblent inhabituels ou pressants.
• Surveillance des Registres de Paquets : Utiliser des outils pour surveiller les activités suspectes sur les registres de paquets comme npm.
• Sensibilisation à la Sécurité : Informer les développeurs et les équipes techniques sur les risques liés aux attaques par la chaîne d’approvisionnement et aux techniques d’ingénierie sociale.

Source