Fake Coding Tests Deliver OtterCookie-Aligned Malware Hidden in SVG Flag Images
Mis à jour :
Stéganographie et recrutement frauduleux : La nouvelle menace OtterCookie
Des acteurs étatiques nord-coréens (identifiés sous le matricule REF9403) exploitent de fausses offres d’emploi pour cibler des développeurs via des tests de codage piégés. Cette campagne, baptisée « Contagious Interview », utilise la stéganographie pour dissimuler des charges malveillantes au sein d’images SVG.
Points clés :
- Vecteur d’attaque : Approche sociale via des plateformes collaboratives (ex: Slack) proposant des tests techniques sur des dépôts GitHub trojanisés.
- Mécanisme de dissimulation : Le code malveillant est fragmenté en base64 au sein de commentaires HTML intégrés dans des fichiers SVG (images de drapeaux). Un script JavaScript (
serverValidation.js) reconstruit et exécute la charge lors du démarrage. - Charge utile : Le malware, lié à la famille OtterCookie, agit comme un outil multi-étapes capable d’exfiltration de données (fichiers, presse-papier), de vol d’identifiants et de portefeuilles crypto, et d’exécution de commandes distantes via un RAT basé sur Socket.IO.
- Cibles spécifiques : Les attaquants visent particulièrement les outils d’IA pour développeurs (.claude, .cursor, .gemini, etc.) pour maximiser le vol de propriété intellectuelle.
Vulnérabilités :
- Aucune CVE spécifique n’est exploitée ; l’attaque repose sur l’exécution volontaire de code non vérifié par la victime et l’ingénierie sociale. La vulnérabilité est ici liée à la confiance accordée à des dépôts de code tiers exécutés localement.
Recommandations :
- Prudence avec les dépôts non officiels : Ne jamais cloner ni exécuter de code provenant de sources non vérifiées ou de candidats/recruteurs inconnus.
- Analyse du code : Avant toute exécution, inspecter minutieusement les dossiers d’assets et les scripts de configuration (
package.json, scripts JS) pour détecter des structures suspectes. - Environnements isolés : Effectuer les tests de recrutement technique dans des machines virtuelles (VM) ou des conteneurs isolés du système hôte et des données sensibles.
- Zero Trust : Appliquer une politique de moindre privilège aux environnements de développement pour limiter l’impact d’une compromission éventuelle.
