Aktor -aktor ancaman Korea Utara di balik kampanye wawancara menular telah diamati memberikan koleksi strain malware Apple MacOS yang dijuluki Ferret sebagai bagian dari proses wawancara kerja yang seharusnya.
“Target biasanya diminta untuk berkomunikasi dengan pewawancara melalui tautan yang melempar pesan kesalahan dan permintaan untuk menginstal atau memperbarui beberapa perangkat lunak yang diperlukan seperti VCAM atau CameraCacess untuk pertemuan virtual,” kata peneliti Sentinelone Phil Stokes dan Tom Hegel dalam a Laporan Baru.
Wawancara menular, yang pertama kali ditemukan pada akhir 2023, adalah upaya terus -menerus yang dilakukan oleh kru peretasan untuk mengirimkan malware ke target calon melalui paket NPM palsu dan aplikasi asli yang menyamar sebagai perangkat lunak yang konferensi video. Ini juga dilacak sebagai pengembangan yang menipu dan Dev#Popper.
Rantai serangan ini dirancang untuk menjatuhkan malware berbasis Javascript yang dikenal sebagai Beavertail, yang, selain memanen data sensitif dari browser web dan dompet crypto, mampu memberikan pintu belakang Python bernama Invisible.
Pada bulan Desember 2024, perusahaan cybersecurity Jepang NTT Security Holdings mengungkapkan bahwa javascript malware juga dikonfigurasi untuk mengambil dan menjalankan malware lain yang dikenal sebagai Ottercookie.
Penemuan keluarga musang malware, yang pertama kali ditemukan menjelang akhir tahun 2024, menunjukkan bahwa para aktor ancaman secara aktif mengasah taktik mereka untuk menghindari deteksi.
Ini termasuk adopsi pendekatan gaya-clickfix untuk menipu pengguna agar menyalin dan menjalankan perintah berbahaya pada sistem Apple MacOS mereka melalui aplikasi terminal untuk mengatasi masalah dengan mengakses kamera dan mikrofon melalui browser web.
Menurut peneliti keamanan Taylor Monahan, yang menggunakan nama pengguna @tayvano_, serangan itu berasal dari para penyerang yang mendekati target pada LinkedIn dengan menyamar sebagai perekrut dan mendesak mereka untuk menyelesaikan penilaian video. Tujuan akhirnya adalah untuk menjatuhkan pintu belakang dan pencuri yang berbasis di Golang yang dirancang untuk menguras dompet Metamask korban dan menjalankan perintah pada tuan rumah.
Beberapa komponen yang terkait dengan malware telah disebut sebagai FriendlyFerret dan Frostyferret_UI. Sentinelone mengatakan mengidentifikasi serangkaian artefak lain bernama FlexibleFerret yang menangani ketekunan pada sistem MacOS yang terinfeksi dengan menggunakan launchent.
Ini juga direkayasa untuk mengunduh muatan yang tidak ditentukan dari server perintah-dan-kontrol (C2), yang tidak lagi responsif.
Selain itu, malware musang telah diamati disebarkan dengan membuka masalah palsu pada repositori gitub yang sah, sekali lagi menunjuk ke diversifikasi metode serangan mereka.
“Ini menunjukkan bahwa para aktor ancaman dengan senang hati memperluas vektor yang dengannya mereka memberikan malware di luar penargetan spesifik pencari kerja kepada pengembang secara lebih umum,” kata para peneliti.
Pengungkapan ini datang beberapa hari setelah perusahaan keamanan rantai pasokan Socket merinci paket NPM berbahaya bernama PostCSS-optimizer yang berisi malware Beavertail. Perpustakaan tetap tersedia untuk diunduh dari NPM Registry pada saat penulisan.
“Dengan menyamar sebagai Perpustakaan PostCSS yang sah, yang memiliki lebih dari 16 miliar unduhan, aktor ancaman bertujuan untuk menginfeksi sistem pengembang dengan kemampuan mencuri kredensial dan pengekspil data di seluruh jendela, macOS, dan sistem Linux,” peneliti keamanan Kirill Boychenko dan Peter van kata Der Zee.
Perkembangan ini juga mengikuti penemuan kampanye baru yang dipasang oleh aktor ancaman APT37 (alias Scarcruft) yang selaras dengan Korea Utara yang melibatkan mendistribusikan dokumen yang terjebak booby melalui kampanye phishing tombak untuk menyebarkan malware rokrat, serta menyebarkannya ke target lain untuk menggunakan target lain Rokrat, serta menyebarkannya ke target lain untuk menggunakan target Rokrat, serta menyebarkannya ke target lain untuk menggunakan target Rokrat, serta menyebarkannya ke target lain Rokrat mereka ke target lain, serta menyebarkannya ke target lain Rokrat mereka ke target lain, serta menyebarkannya ke target lain Rokrat mereka ke target lain, serta menyebar ke target lain Rokrat Obrolan grup melalui platform K Messenger dari komputer pengguna yang dikompromikan.
