Negli ultimi tempi, gli attori di minaccia nordcoreani sono stati osservati mentre distribuivano una serie di malware per macOS, denominata FERRET, come parte di un presunto processo di colloquio di lavoro. Questa campagna, chiamata "Contagious Interview", mira a consegnare malware a potenziali bersagli attraverso pacchetti npm falsi e app native camuffate da software di videoconferenza.

Gli attacchi sono progettati per installare un malware basato su JavaScript noto come BeaverTail, che, oltre a raccogliere dati sensibili dai browser web e dai portafogli di criptovalute, è in grado di consegnare un backdoor in Python chiamato InvisibleFerret. Inoltre, è stato scoperto che il malware JavaScript è configurato per scaricare ed eseguire un altro malware conosciuto come OtterCookie.

Gli attori di minaccia stanno adottando un approccio in stile ClickFix per ingannare gli utenti nel copiare ed eseguire un comando dannoso sui loro sistemi macOS tramite l'app Terminal. Questo metodo viene utilizzato per risolvere un presunto problema di accesso alla fotocamera e al microfono tramite il browser web.

Metodo di attacco

Secondo il ricercatore di sicurezza Taylor Monahan, gli attacchi iniziano con gli aggressori che contattano le vittime tramite LinkedIn, fingendosi reclutatori, e le incoraggiano a completare una valutazione video. L'obiettivo finale è distribuire un backdoor e un ladro basati su Golang progettati per svuotare il portafoglio MetaMask della vittima ed eseguire comandi sul sistema ospite.

Alcuni componenti del malware sono stati codenominati FRIENDLYFERRET_SECD, FROSTYFERRET_UI e MULTI_FROSTYFERRET_CMDCODES. FROSTYFERRET_UI si riferisce al primo stadio del binario consegnato in app malevole come ChromeUpdate e CameraAccess. FRIENDLYFERRET_SECD è il nome assegnato al backdoor Go di secondo stadio e al binario Mach-O x86-64 precedentemente osservato nella campagna Hidden Risk che prende di mira le aziende legate alle criptovalute.

Un altro set di artefatti, chiamato FlexibleFerret, è stato identificato e si occupa di stabilire la persistenza sul sistema macOS infetto tramite un LaunchAgent. Il malware viene diffuso tramite un pacchetto chiamato InstallerAlert, simile a FROSTYFERRET_UI.

Gli attori di minaccia stanno espandendo i vettori attraverso i quali distribuiscono il malware, colpendo non solo i cercatori di lavoro, ma anche gli sviluppatori in generale. Questo indica una diversificazione dei loro metodi di attacco. La scoperta arriva pochi giorni dopo che un pacchetto npm malevolo, postcss-optimizer, contenente il malware BeaverTail, è stato dettagliato dalla società di sicurezza della supply chain Socket.