Yeni OtterCookie Zararlısı, Sahte İş Teklifleriyle Yazılım Geliştiricilerini Hedef Alıyor
Kuzey Koreli hackerlar, yazılım geliştiricilerini hedef alarak sahte iş teklifleriyle OtterCookie adında yeni bir zararlı yazılım kullanıyor. Palo Alto Networks tarafından yapılan araştırmalara göre, bu “Contagious Interview” kampanyası en az Aralık 2022’den bu yana aktif durumda.
Contagious Interview operasyonu, daha önce BeaverTail ve InvisibleFerret gibi zararlı yazılımlarla tanınıyordu. Ancak son dönemde, araştırmalar sonucu OtterCookie adlı yeni bir zararlı yazılımın kullanıldığı tespit edildi. Bu yazılımın, Eylül 2023’te tanıtıldığı ve Kasım ayında yeni bir varyantının ortaya çıktığı belirtiliyor.
OtterCookie, Node.js projeleri veya GitHub ile Bitbucket’tan indirilen npm paketleri aracılığıyla hedef cihazlara bulaşıyor. Ayrıca, son zamanlarda Qt veya Electron uygulamalarıyla da dağıtılmaya başlandı. Zararlı yazılım, cihazda aktif hale geldikten sonra komut ve kontrol (C2) altyapısıyla güvenli bir iletişim kuruyor ve saldırganların komutlarına yanıt veriyor.
NTT Security Japan’in raporuna göre, OtterCookie, hedef cihazlardan kripto para cüzdan anahtarları, belgeler, görüntüler ve diğer değerli verileri çalmak için komutlar kullanıyor. Zararlı yazılım, Eylül sürümünde zaten kripto para cüzdanı anahtarlarını çalacak işlevlere sahipti. Kasım sürümünde ise bu işlev, uzaktan kabuk komutlarıyla gerçekleştirilmiş.
OtterCookie ayrıca, hedef cihazdaki panoya (clipboard) erişerek hassas verileri saldırganlara sızdırabiliyor. Araştırmacılar, zararlı yazılımın çevresini keşfetmek ve daha derin bir sızma veya yatay hareket için ortam hazırlamak amacıyla “ls” ve “cat” gibi komutlar kullandığını da gözlemledi.
Yeni zararlı yazılımın kullanılması ve enfeksiyon yöntemlerinin çeşitlenmesi, Contagious Interview kampanyasının ardındaki tehdit aktörlerinin yeni taktikler denediğini gösteriyor. Yazılım geliştiricilerinin, potansiyel işveren hakkında bilgi doğrulaması yapmaları ve kodlama testlerini içeren iş tekliflerine şüpheyle yaklaşmaları önemlidir. Ayrıca geliştiricilerin kişisel ya da iş bilgisayarlarında, iş teklifi kapsamında gelen kodları çalıştırmadan önce dikkatli olmaları gerekiyor.
