Fake Coding Tests Deliver OtterCookie-Aligned Malware Hidden in SVG Flag Images

1 minute de lecture

Mis à jour :

Stéganographie et recrutement frauduleux : La nouvelle menace OtterCookie

Des acteurs étatiques nord-coréens (identifiés sous le matricule REF9403) exploitent de fausses offres d’emploi pour cibler des développeurs via des tests de codage piégés. Cette campagne, baptisée « Contagious Interview », utilise la stéganographie pour dissimuler des charges malveillantes au sein d’images SVG.

Points clés :

  • Vecteur d’attaque : Approche sociale via des plateformes collaboratives (ex: Slack) proposant des tests techniques sur des dépôts GitHub trojanisés.
  • Mécanisme de dissimulation : Le code malveillant est fragmenté en base64 au sein de commentaires HTML intégrés dans des fichiers SVG (images de drapeaux). Un script JavaScript (serverValidation.js) reconstruit et exécute la charge lors du démarrage.
  • Charge utile : Le malware, lié à la famille OtterCookie, agit comme un outil multi-étapes capable d’exfiltration de données (fichiers, presse-papier), de vol d’identifiants et de portefeuilles crypto, et d’exécution de commandes distantes via un RAT basé sur Socket.IO.
  • Cibles spécifiques : Les attaquants visent particulièrement les outils d’IA pour développeurs (.claude, .cursor, .gemini, etc.) pour maximiser le vol de propriété intellectuelle.

Vulnérabilités :

  • Aucune CVE spécifique n’est exploitée ; l’attaque repose sur l’exécution volontaire de code non vérifié par la victime et l’ingénierie sociale. La vulnérabilité est ici liée à la confiance accordée à des dépôts de code tiers exécutés localement.

Recommandations :

  • Prudence avec les dépôts non officiels : Ne jamais cloner ni exécuter de code provenant de sources non vérifiées ou de candidats/recruteurs inconnus.
  • Analyse du code : Avant toute exécution, inspecter minutieusement les dossiers d’assets et les scripts de configuration (package.json, scripts JS) pour détecter des structures suspectes.
  • Environnements isolés : Effectuer les tests de recrutement technique dans des machines virtuelles (VM) ou des conteneurs isolés du système hôte et des données sensibles.
  • Zero Trust : Appliquer une politique de moindre privilège aux environnements de développement pour limiter l’impact d’une compromission éventuelle.

Source