Ravie Lakshmanan2026 年 7 月 17 日社會工程 / 惡意軟體

Contagious Interview 行動有關的北韓威脅行為者,已被觀察到在 SVG 影像檔案中使用隱寫術來隱藏惡意酬載,作為利用偽造職缺與編碼挑戰的行動一部分。

Elastic Security Labs 在一份分享給 The Hacker News 的報告中表示:「任何執行該專案的使用者最終都會獲得與 OTTERCOOKIE 對齊的四階段酬載:瀏覽器憑證與加密錢包竊取程式、檔案竊取程式、基於 Socket.IO 的遠端存取木馬(RAT),以及剪貼簿竊取程式。」

這些發現再次凸顯,與朝鮮民主主義人民共和國(DPRK)有關的國家支持駭客持續鎖定軟體開發人員,目的是竊取敏感資料並掠奪加密貨幣錢包。此活動被追蹤為 REF9403。

這家荷蘭企業搜尋與可觀測性平台的資安部門表示,他們是在威脅行為者針對其 社群 Slack 工作區成員發送偽造工作機會的社會工程誘餌後發現此行動,突顯了先前未在 Contagious Interview 相關攻擊中記錄的新初始存取管道,而 Contagious Interview 是一項自 2022 年 12 月以來持續進行的複雜社會工程行動。

這些訊息由名為 Maxwell 的使用者於 2026 年 5 月底張貼在 #jobs Slack 頻道中,尋找有經驗的開發人員,協助將其電商平台升級為「使用 Next.js (v14)、NestJS、PostgreSQL 及 Auth.js 的現代化、可擴展架構」,並整合 Stripe。

Cybersecurity

對此機會感興趣的使用者會被轉入私訊,指示他們完成編碼評估作為職缺的一部分,這是 Contagious Interview 行動中觀察到的標準手法。該任務涉及執行包含惡意軟體的木馬化儲存庫,目的是竊取有價值的資料並設定 Socket.IO 後門。

具體而言,作為此計畫一部分散布的儲存庫包含完全可運行的程式碼,但也將惡意程式碼以 SVG 影像的形式嵌入,以規避偵測。

Elastic 表示:「雖然這些看起來合法的專案可以完美執行,但惡意程式碼會在背景靜默觸發。酬載被分割成 base64 片段,放置在 assets 目錄中每個 SVG 國旗影像的 HTML 註解內。這些檔案看起來是正常的國旗影像(AE.svg、AF.svg),但每個檔案都包含注入的註解區塊,內含 Base64 編碼的資料。」

酬載隨後由儲存庫中的 JavaScript 檔案(「serverValidation.js」)組合在一起。攻擊鏈的設計使得惡意軟體會在每次伺服器啟動時執行。Elastic 表示,主要酬載與 OtterCookie 有重疊,這是一種跨平台惡意軟體,首次出現於 2024 年 9 月。

Microsoft 於 3 月指出,OtterCookie「從用於執行遠端指令與搜尋加密金鑰的基本工具,演變為模組化程式,能執行更廣泛的資料竊取,並具備檢查 VM 環境、安裝如 socket.io 等通訊用戶端以進行 C2、通訊資訊、執行任意 shell 指令、載入其他模組以收集特定目標資料,以及回報結果的能力」。

Cybersecurity

該惡意軟體包含四個不同模組,可從網路瀏覽器與加密錢包中收集資料、收集符合特定副檔名清單的檔案、利用基於 Socket.IO 的木馬實現持續遠端控制以執行 shell 指令、擷取剪貼簿內容,並投放 Windows 可執行檔。

OtterCookie 收集的檔案包括人工智慧(AI)編碼工具擴充功能,例如 .claude、.cursor、.gemini、.windsurf、.pearai 與 .llama,顯示威脅行為者正積極強化其工具包,以盡可能收集更多資訊。

值得注意的是,該惡意軟體也與透過偽裝成 Rollup polyfill 工具的假 npm 套件散布的資料竊取程式與木馬展現部分功能重疊,顯示威脅行為者正透過多種管道進行傳播。

Elastic 表示:「此行動再次強調,開發人員仍是首要目標,單一個人的入侵即可提供初始存取權限,進而對下游組織發動影響深遠的供應鏈攻擊。這些行動的成功凸顯,入侵單一開發人員即可為更廣泛的組織影響提供途徑。」

覺得這篇文章有趣嗎?請在 Google NewsTwitterLinkedIn 上追蹤我們,以閱讀更多我們發布的獨家內容。