¿Sabías que los hackers están llevando sus estrategias a otro nivel, apuntando directamente a desarrolladores con algo tan común como ofertas de trabajo? En una campaña conocida como Contagious Interview, ciberdelincuentes, supuestamente vinculados a hackers norcoreanos, están utilizando un nuevo malware llamado OtterCokie para infiltrarse en sistemas y robar información valiosa. Sí, ahora las promesas de empleos atractivos son la nueva puerta de entrada para estas amenazas.
Esta campaña, activa desde diciembre de 2022 según Palo Alto Networks, utiliza tácticas de ingeniería social para engañar a los desarrolladores. Ofertas de trabajo falsas se convierten en el señuelo perfecto para instalar malware como BeaverTail, InvisibleFerret, y ahora, el más reciente de la lista, OtterCokie. Este último, introducido en septiembre y actualizado en noviembre, no solo compromete a las víctimas individuales, sino que también pone en riesgo proyectos empresariales y ecosistemas tecnológicos enteros.
Cadena de ataques de OtterCokie
Los ataques de OtterCokie siguen un patrón bastante preocupante, y aquí es donde las cosas se ponen interesantes (y peligrosas). Según los investigadores de Unit42 de Palo Alto Networks, este malware se entrega a través de un cargador que extrae datos en formato JSON y ejecuta la propiedad 'cookie' como si fuera código JavaScript. Sí, está diseñado para ser discreto y efectivo.
Aunque el malware BeaverTail sigue siendo la carga maliciosa más común en esta campaña, los expertos de NTT han identificado casos en los que OtterCokie se implementa junto con BeaverTail, o incluso actúa por su cuenta. Esto hace que la amenaza sea aún más versátil y difícil de predecir.
El truco está en cómo infectan a sus víctimas: los atacantes suelen aprovechar proyectos de Node.js o paquetes de npm descargados de plataformas como GitHub o Bitbucket. Sin embargo, están diversificando sus tácticas, ya que también se han detectado archivos maliciosos disfrazados como aplicaciones creadas con Qt o Electron. Básicamente, están buscando todas las maneras posibles de colarse en los sistemas de los desarrolladores.
Esto deja claro que cualquiera que trabaje con herramientas populares de desarrollo debe estar alerta y ser extremadamente cuidadoso con lo que descarga y ejecuta.
Resumen de los últimos ataques de Contagious Interview (Fuente: NTT Japón)
Una vez que OtterCokie logra infiltrarse en un dispositivo, comienza a hacer lo suyo: conecta con su centro de operaciones (también conocido como infraestructura de comando y control o C2). Para esto, utiliza una herramienta llamada Socket.IO WebSocket, que le permite mantener una comunicación segura y en tiempo real con los atacantes. Básicamente, queda "a la espera de órdenes" desde su base, listo para ejecutar cualquier comando que le envíen.
Los investigadores han descubierto que OtterCokie no se anda con rodeos cuando se trata de robar datos valiosos. Entre los comandos que utiliza, está la recopilación de información como claves de billeteras de criptomonedas, documentos, imágenes y cualquier otro dato importante que pueda encontrar en el dispositivo infectado.
Una de las cosas que llama la atención es que, desde su versión de septiembre, OtterCokie ya venía con funciones específicas para robar claves de billeteras de criptomonedas, como las relacionadas con Ethereum. Según NTT, esta función utilizaba expresiones regulares para buscar esas claves privadas. Sin embargo, con la variante de noviembre, los atacantes ahora prefieren usar comandos de shell remotos para cumplir el mismo propósito.
Podría interesarte leer: Ataques a través de Solicitudes de Empleo Falsas
Pero eso no es todo. La última versión de OtterCokie también puede interceptar información directamente desde el portapapeles, lo que significa que cualquier dato sensible que copies y pegues (como contraseñas o direcciones de criptomonedas) podría terminar en manos de los atacantes. Además, se han detectado comandos básicos como ls y cat, que los ciberdelincuentes usan para explorar el sistema de la víctima, familiarizarse con su entorno y preparar el terreno para ataques más avanzados.
La aparición de malware como este, junto con los cambios constantes en sus tácticas, deja claro que los responsables detrás de la campaña Contagious Interview están experimentando continuamente para mejorar sus métodos de ataque.
Por eso, si eres desarrollador de software, ten mucho cuidado. Antes de confiar en una oferta de trabajo, verifica que el empleador sea legítimo y no ejecutes código sospechoso en tus dispositivos personales o de trabajo solo porque te lo pidan como parte de un "proceso de selección". Mantenerte alerta puede marcar la diferencia entre ser una víctima más o evitar un desastre.
