Kuzey Kore bağlantılı tehdit aktörleri, sahte iş ilanları ve yazılım testleri yoluyla geliştiricileri hedef alan Contagious Interview kampanyasında, kötü amaçlı yazılım yüklerini SVG görsel dosyalarında steganografi yöntemiyle gizliyor. Elastic Security Labs tarafından yayınlanan rapora göre, saldırganlar sahte iş teklifleri ve kodlama sınavları kullanarak dört aşamalı bir kötü amaçlı yazılım zinciri oluşturuyor. Bu zincir, OtterCookie olarak bilinen bir tehdit aracıyla uyumlu olarak çalışıyor ve tarayıcı kimlik bilgileri, kripto cüzdan bilgileri, dosya hırsızlığı ve Socket.IO tabanlı bir RAT (Uzaktan Erişim Truva Atı) gibi bileşenler içeriyor.
Elastic'in raporuna göre, REF9403 koduyla takip edilen bu faaliyet, geliştiricileri hedef alarak hassas verileri çalmayı ve kripto para cüzdanlarını yağmalamayı amaçlıyor. Kampanya, Elastic'in kendi topluluk Slack kanalında da tespit edildi. Mayıs 2026 sonunda "Maxwell" kullanıcı adıyla #jobs kanalına gönderilen mesajlarda, Next.js, NestJS, PostgreSQL ve Auth.js kullanarak e-ticaret platformunu modernize edecek deneyimli bir geliştirici arandığı belirtildi. Bu mesajlara ilgi gösterenler, doğrudan mesajla bir kodlama testi yapmaya yönlendirildi.
Kodlama testi, trojanize edilmiş bir depoyu çalıştırmayı içeriyordu. Bu depolar, tamamen işlevsel kodların yanı sıra kötü amaçlı SVG görselleri barındırıyordu. Görseller, ülke bayraklarını (AE.svg, AF.svg gibi) temsil eden normal dosyalar gibi görünse de, HTML yorumları içinde Base64 kodlu parçalar halinde kötü amaçlı yükler taşıyordu. Depodaki serverValidation.js dosyası, bu parçaları birleştirerek kötü amaçlı yazılımı tetikliyor. Saldırı zinciri, sunucu her başladığında kötü amaçlı yazılımın çalışmasını sağlayacak şekilde tasarlanmış.
Gelecekte Ne Bekleniyor?
OtterCookie, ilk olarak Eylül 2024'te ortaya çıkan çapraz platform bir kötü amaçlı yazılım. Microsoft'un Mart 2025'te yayınladığı analize göre, OtterCookie başlangıçta basit bir uzaktan komut çalıştırma ve kripto anahtarı arama aracıyken, zamanla modüler bir yapıya evrildi. Artık sanal makine tespiti, Socket.IO ile C2 iletişimi, dosya sızdırma, rastgele shell komutları çalıştırma ve hedeflenen verileri toplama gibi yeteneklere sahip. Kötü amaçlı yazılım, dört farklı modül içeriyor: tarayıcı ve kripto cüzdan sızdırma, belirli dosya uzantılarını toplama, kalıcı uzaktan erişim (Socket.IO tabanlı RAT) ve pano içeriğini çalma.
OtterCookie'nin topladığı dosyalar arasında .claude, .cursor, .gemini, .windsurf, .pearai ve .llama gibi yapay zeka kodlama araçlarının uzantıları da bulunuyor. Bu durum, tehdit aktörünün mümkün olduğunca fazla veri toplamak için araçlarını sürekli güncellediğini gösteriyor. Ayrıca, kötü amaçlı yazılımın işlevleri, sahte Rollup polyfill npm paketleri aracılığıyla dağıtılan veri hırsızı ve truva atı ile benzerlikler taşıyor. Bu, tehdit aktörlerinin birden fazla yayılma vektörü kullandığına işaret ediyor.
Elastic Security, bu kampanyanın geliştiricilerin hala birincil hedef olduğunu vurguluyor. Tek bir geliştiricinin tehlikeye atılması, tedarik zinciri saldırıları için başlangıç noktası oluşturabilir ve alt kuruluşlara kadar geniş bir etki yaratabilir. Geliştiricilerin, özellikle iş teklifi gibi görünen şüpheli mesajlara karşı dikkatli olmaları, depolardaki kodları incelemeleri ve güvenilmeyen kaynaklardan gelen projeleri çalıştırmamaları öneriliyor.
Kaynak: thehackernews.com