Fake Coding Tests Deliver OtterCookie-Aligned Malware Hidden in SVG Flag Images
Nordkoreanische Hacker nutzen gefälschte Coding-Tests und Stellenangebote, um Malware zu verbreiten. Sie verstecken bösartige Payloads in SVG-Bildern, die Browser- und Krypto-Wallet-Daten sowie andere Dateien stehlen. Nutzer, die solche Projekte ausführen, sind betroffen und sollten höchste Vorsicht walten lassen.
Nordkoreanische Bedrohungsakteure nutzen gefälschte Coding-Tests und Stellenangebote, um Malware zu verbreiten. Die Malware, die als OtterCookie-aligned beschrieben wird, ist in SVG-Bildern versteckt. Sie stiehlt Browser- und Krypto-Wallet-Daten sowie andere Dateien von betroffenen Systemen.
Nutzer, die gefälschte Coding-Tests oder Stellenangebote von nordkoreanischen Bedrohungsakteuren ausgeführt haben.
Organisationen, die Softwareentwickler einstellen oder mit externen Entwicklern zusammenarbeiten, sind einem erhöhten Risiko ausgesetzt, da diese Taktik auf die Kompromittierung von Entwicklersystemen abzielt. Der Diebstahl von Anmeldeinformationen und Krypto-Wallets kann zu erheblichen finanziellen Verlusten und Datenlecks führen.
Ein Mitarbeiter führt einen solchen gefälschten Coding-Test aus, was zur Kompromittierung seines Systems führt. Die Angreifer stehlen Anmeldeinformationen für Unternehmenssysteme und Krypto-Wallets, was zu unbefugtem Zugriff auf interne Ressourcen und potenziellen finanziellen Verlusten führt.
Mitarbeiter über die Risiken gefälschter Coding-Tests und Stellenangebote aufklären. Systeme auf Anzeichen einer Kompromittierung scannen, insbesondere wenn solche Projekte ausgeführt wurden. Sicherheitslösungen zur Erkennung von Malware in ausführbaren Dateien und Skripten implementieren und aktualisieren.
- ▸Überprüfen Sie E-Mail-Gateways und Web-Filter auf die Erkennung von Phishing-E-Mails, die gefälschte Stellenangebote oder Coding-Tests enthalten.
- ▸Scannen Sie Endpunkte auf das Vorhandensein von Malware, die mit OtterCookie-aligned in Verbindung gebracht wird, insbesondere in temporären Verzeichnissen oder Benutzerprofilen nach der Ausführung von heruntergeladenen Projekten.
- ▸Überprüfen Sie die Netzwerkprotokolle auf ungewöhnliche ausgehende Verbindungen zu bekannten Command-and-Control-Infrastrukturen, die mit nordkoreanischen Bedrohungsakteuren in Verbindung gebracht werden.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1566 Phishing | High | Nordkoreanische Hacker nutzen gefälschte Coding-Tests und Stellenangebote, um Malware zu verbreiten. |
| Defense Evasion | T1027 Obfuscated Files or Information | High | Sie verstecken bösartige Payloads in SVG-Bildern |
| Credential Access | T1555 Credentials from Password Stores | High | Browser- und Krypto-Wallet-Daten sowie andere Dateien stehlen. |
| Collection | T1119 Automated Collection | Low | Browser- und Krypto-Wallet-Daten sowie andere Dateien stehlen. |
- Spezifische CVEs oder IOCs sind im Artikel nicht genannt.
- Die genaue Methode der Ausführung der SVG-Bilder wird nicht detailliert beschrieben.
- Die genaue Art der 'anderen Dateien', die gestohlen werden, ist nicht spezifiziert.
- Die spezifischen Branchen oder geografischen Regionen, die von dieser Kampagne betroffen sind, sind nicht genannt.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Unklar
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Unklar
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Können wir Resource Development detektieren?
- Können wir Defense Evasion detektieren?