Kuzey Kore bağlantılı siber tehdit grupları, yazılımcılara yönelik yeni bir saldırı kampanyasında dikkat çekici bir yöntem kullanıyor. Elastic Security Labs'ın raporuna göre, Contagious Interview adı verilen kampanya kapsamında, sahte iş ilanları ve kodlama testleri aracılığıyla yazılımcılar hedef alınıyor. Saldırganlar, SVG (Ölçeklenebilir Vektör Grafikleri) formatındaki bayrak görsellerine steganografi yöntemiyle kötü amaçlı yazılım gizliyor. Bu yöntem, görsel dosyaların içine metin veya kod parçaları gizlenmesine olanak tanırken, güvenlik yazılımları tarafından fark edilmesi zor oluyor.
Elastic Security Labs, kampanyanın REF9403 kod adıyla takip edildiğini ve özellikle yazılım geliştiricilerin hedef alındığını belirtiyor. Saldırganlar, Elastic'in topluluk Slack çalışma alanına sızarak sahte iş teklifleri yayınladı. Maxwell adlı bir kullanıcı tarafından #jobs kanalına gönderilen mesajda, deneyimli bir geliştirici arandığı ve e-ticaret platformunun Next.js, NestJS, PostgreSQL ve Auth.js gibi modern teknolojilerle yeniden yapılandırılması gerektiği ifade ediliyordu. İlgilenen adaylar, özel mesajlara yönlendirilerek bir kodlama değerlendirmesi yapmaları istendi. Bu, Contagious Interview kampanyalarında sıkça kullanılan bir taktik.
Kodlama değerlendirmesi adı altında gönderilen depo (repository), işlevsel kodların yanı sıra kötü amaçlı SVG görselleri içeriyordu. Elastic'in analizine göre, 'assets' klasöründeki ülke bayraklarını temsil eden SVG dosyaları (AE.svg, AF.svg gibi) normal görünmelerine rağmen, HTML yorumları içinde Base64 kodlu veri parçaları barındırıyor. Bu parçalar, depoda bulunan 'serverValidation.js' adlı bir JavaScript dosyası tarafından birleştirilerek dört aşamalı bir kötü amaçlı yazılım yükü oluşturuyor. Yazılım, her sunucu başlatıldığında otomatik olarak çalışacak şekilde tasarlanmış.
OtterCookie adı verilen bu kötü amaçlı yazılım, ilk kez Eylül 2024'te ortaya çıkan çapraz platform bir tehdit. Microsoft'un Mart ayındaki raporuna göre, OtterCookie başlangıçta basit bir uzaktan komut çalıştırma ve kripto anahtar arama aracıyken, zamanla modüler bir yapıya dönüştü. Artık sanal makine tespiti, Socket.IO tabanlı C2 (komut ve kontrol) iletişimi, dosya sızdırma, keyfi kabuk komutları çalıştırma ve belirli verileri toplamak için ek modüller yükleme gibi yeteneklere sahip. Elastic, yazılımın dört ana modülünü şöyle sıralıyor: tarayıcı kimlik bilgileri ve kripto cüzdan hırsızı, dosya hırsızı, Socket.IO tabanlı uzaktan erişim truva atı (RAT) ve pano hırsızı.
Nasıl Önlem Alınmalı?
OtterCookie'nin hedef aldığı dosya uzantıları arasında yapay zeka kodlama araçlarına ait .claude, .cursor, .gemini, .windsurf, .pearai ve .llama gibi dosyalar da bulunuyor. Bu, tehdit aktörlerinin sürekli olarak araç setlerini güncellediklerini ve mümkün olduğunca fazla bilgi toplamaya çalıştıklarını gösteriyor. Ayrıca, OtterCookie'nin işlevselliği, daha önce sahte Rollup polyfill npm paketleri aracılığıyla dağıtılan veri hırsızı ve truva atıyla benzerlikler taşıyor. Bu da tehdit aktörlerinin birden fazla yayılma vektörü kullandığına işaret ediyor.
Gelecekte Ne Bekleniyor?
Elastic Security Labs, bu kampanyanın yazılımcıların birincil hedef olmaya devam ettiğini vurguluyor. Tek bir geliştiricinin tehlikeye atılması, daha geniş tedarik zinciri saldırılarına yol açabilecek ilk erişimi sağlayabilir. Bu nedenle, yazılımcıların özellikle iş teklifleri ve kodlama testleri gibi sosyal mühendislik saldırılarına karşı dikkatli olmaları, güvenilmeyen kaynaklardan gelen kodları çalıştırmamaları ve güvenlik yazılımlarını güncel tutmaları büyük önem taşıyor. Ayrıca, şirketlerin çalışanlarını bu tür tehditlere karşı eğitmeleri ve güvenlik politikalarını güçlendirmeleri gerekiyor.
Kaynak: thehackernews.com