Ravie Lakshmanan2026年7月17日社会工程 / 恶意软件

Contagious Interview 活动相关的朝鲜威胁行为者,被观察到在 SVG 图像文件中使用隐写术来隐藏恶意有效载荷,伪装成虚假职位发布和编码挑战活动的一部分。

Elastic Security Labs 在一份分享给 The Hacker News 的报告中表示:“任何运行该项目的用户最终都会获得与 OTTERCOOKIE 一致的四阶段有效载荷:一个浏览器凭证和加密货币钱包窃取程序、一个文件窃取程序、一个基于 Socket.IO 的远程访问木马(RAT),以及一个剪贴板窃取程序。”

该发现再次凸显了与朝鲜民主主义人民共和国(DPRK)结盟的国家支持黑客持续针对软件开发人员,目的是窃取敏感数据并掠夺加密货币钱包。此活动被追踪为 REF9403。

这家荷兰企业搜索与可观测性平台的网络安全部门表示,他们在威胁行为者针对其 社区 Slack 工作空间 成员发起社会工程诱饵、伪装成职位邀约后发现了该活动,凸显了 Contagious Interview 相关攻击中此前未记录过的新型初始访问途径。Contagious Interview 是一项自 2022 年 12 月起持续进行的高级社会工程行动。

这些消息由名为 Maxwell 的用户于 2026 年 5 月下旬在 #jobs Slack 频道发布,寻求有经验的开发者协助将其电商平台升级为“使用 Next.js (v14)、NestJS、PostgreSQL 和 Auth.js 的现代可扩展架构”,并集成 Stripe。

Cybersecurity

对该职位感兴趣的人会被转入私信,要求他们完成作为录用条件之一的编码评估,这是 Contagious Interview 活动中观察到的标准手段。该任务涉及执行一个包含恶意软件的特洛伊化仓库,以窃取有价值的数据并配置 Socket.IO 后门。

具体而言,作为该计划分发的仓库包含功能齐全的代码,但同时以 SVG 图像形式嵌入恶意代码以规避检测。

Elastic 表示:“虽然这些看起来合法的项目可以完美运行,但恶意代码会在后台静默触发。有效载荷被拆分为 Base64 片段,放置在 assets 目录中每个 SVG 国旗图像的 HTML 注释中。这些文件看起来像是正常的国家国旗图像(AE.svg、AF.svg),但每个文件都包含一个注入的注释块,其中带有 Base64 编码的数据。”

有效载荷随后由仓库中的一个 JavaScript 文件(“serverValidation.js”)组装在一起。攻击链的设计使得恶意软件会在每次服务器启动时执行。Elastic 表示,主有效载荷与 OtterCookie 存在重叠,这是一种跨平台恶意软件,最初于 2024 年 9 月出现。

Microsoft 在 3 月份曾指出,OtterCookie“已从执行远程命令和搜索加密密钥的基本工具演变为一个模块化程序,能够进行更广泛的数据窃取,并具备检查虚拟机环境、安装 socket.io 等通信客户端用于 C2、窃取信息、执行任意 shell 命令、加载其他模块以收集特定目标数据并报告结果的能力。”

Cybersecurity

该恶意软件包含四个不同模块,可使其从 Web 浏览器和加密货币钱包中收集数据、收集匹配特定扩展名列表的文件、使用基于 Socket.IO 的木马实现持久远程控制以执行 shell 命令、捕获剪贴板内容,并投放 Windows 可执行文件。

OtterCookie 收集的文件中包括人工智能(AI)编码工具扩展,如 .claude、.cursor、.gemini、.windsurf、.pearai 和 .llama,表明威胁行为者正在积极改进其工具包,以尽可能多地收集信息。

值得注意的是,该恶意软件还与通过伪装成 Rollup polyfill 工具的虚假 npm 包分发的数据窃取程序和木马 存在一些功能重叠,表明威胁行为者正在采用多种传播途径。

Elastic 表示:“此活动再次强化了开发者仍是主要目标,单个个人的受陷可能为针对下游组织的深远供应链攻击提供初始访问权限。这些行动的成功凸显了攻陷单个开发者如何能为更广泛的组织影响提供途径。”

觉得这篇文章有趣?关注我们的 Google NewsTwitterLinkedIn,阅读我们发布的更多独家内容。