СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:22
#ИБ

OtterCookie: новый Node.js RAT для слежки за разработчиками

OtterCookie — это отдельная JavaScript/Node.js троянская программа для удалённого доступа (RAT), работающая независимо от BeaverTail в рамках более широкой операции Contagious Interview. В отличие от BeaverTail, который опирается на HTTP и механизмы загрузки, OtterCookie использует Socket.IO поверх Engine.IO v4 и поддерживает живой реестр подключённых жертв, обновляя его каждые тридцать секунд.

Такой подход означает существенный сдвиг: злоумышленники уходят от традиционной кражи сохранённых данных к постоянному мониторингу машин разработчиков в реальном времени. Плоскость управления Socket.IO позволяет непрерывно отслеживать действия жертв, перехватывая содержимое буфера обмена, нажатия клавиш, скриншоты и конфиденциальную информацию, включая секреты браузера и учётные данные кошельков.

Как работает инфраструктура OtterCookie

Ключевая особенность OtterCookie заключается в том, что он не ждёт запросов от оператора для передачи обновлений. Вместо этого троян транслирует информацию о подключённых жертвах регулярно, что делает наблюдение более оперативным и гибким.

  • порт 6931 — используется сервером управления для трансляции сведений о том, какие жертвы находятся в сети;
  • порт 6101 — применяется для установления соединений без функции трансляции;
  • uid и userKey — идентификаторы, которые не привязаны однозначно к одной машине, а выступают как индикаторы кампании.

Это усложняет атрибуцию: несколько устройств могут использовать одни и те же идентификаторы в зависимости от пакета развертывания. Таким образом, инфраструктура кампании строится не вокруг единичной компрометации, а вокруг масштабируемого наблюдения за множеством целей.

Распространение через npm и Vercel

Отдельного внимания заслуживают механизмы доставки ВПО через npm и Vercel. Согласно отчётам, около 197 вредоносных пакетов, связанных с OtterCookie, обеспечили примерно 31 000 загрузок. Это указывает на широкую схему распространения, ориентированную прежде всего на разработчиков.

Подобная модель распространения особенно опасна, поскольку позволяет внедрять вредоносный код в среду, где активно используются инструменты разработки, менеджеры пакетов и облачные сервисы. Именно такие сценарии делают кампанию Contagious Interview особенно чувствительной для технологических команд.

Роль OtterCookie в кампании Contagious Interview

В статье прослеживается чёткое операционное разделение между компонентами кампании:

  • BeaverTail отвечает за первоначальный доступ и кражу данных;
  • OtterCookie сосредоточен на мониторинге в реальном времени;
  • InvisibleFerret поддерживает операции с бэкдором.

Закрепление OtterCookie усиливает способность злоумышленников не просто собирать ранее сохранённую конфиденциальную информацию, а непрерывно наблюдать за поведением жертв и извлекать данные по мере их появления. Это делает атаку более динамичной и труднее обнаруживаемой.

Связанный вариант npoint

Тревожным параллельным случаем стало появление связанного внедрения, обозначенного как npoint. Этот вариант использует другой язык команд, но аналогичную инфраструктуру и нацелен на сохранённые учётные данные как на системах macOS, так и Windows.

Наличие такого варианта может указывать на расширение ландшафта угроз, связанного с данной кампанией, и на дальнейшую адаптацию её инструментов под разные платформы и сценарии эксплуатации.

Что рекомендуют аналитики

Для обнаружения и устранения последствий специалисты советуют сосредоточиться на признаках активности, характерных для этой кампании:

  • проверять высокопортовые соединения, используемые Socket.IO;
  • отслеживать необычные процессы Node.js;
  • обращать внимание на подозрительное поведение, включая частые чтения буфера обмена без контекста пользовательских действий.

Эволюционирующие тактики OtterCookie подчёркивают важность проактивной защиты от всё более сложных угроз, основанных на слежке и нацеленных на среды разработки.

В целом, OtterCookie демонстрирует, как современные RAT всё чаще превращаются в инструменты постоянного наблюдения, а не только в средства разового хищения данных. Для организаций, работающих с кодом, секретами и учётными данными, это означает необходимость более жёсткого контроля за цепочками поставки, сетевой активностью и поведением процессов в среде разработки.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: