Quando um mesmo grupo de hackers consegue unir, em um único pacote, funções de roubo de dados, keylogger, captura de tela e controle remoto, o sinal de alerta precisa soar alto. Foi exatamente isso que pesquisadores da Cisco Talos observaram nos últimos ataques atribuídos ao cluster norte-coreano conhecido por nomes como Famous Chollima e Void Dokkaebi. Ao combinar características de dois malwares já temidos – BeaverTail e OtterCookie – o grupo mostra que está aperfeiçoando seu arsenal e, sobretudo, explorando brechas na cadeia de suprimentos de software JavaScript.
Para quem desenvolve em Node.js, mantém plugins em WordPress ou simplesmente lida com criptomoedas no navegador, a notícia é particularmente relevante. A campanha, batizada de Contagious Interview, parte de ofertas de emprego falsas, avança por repositórios públicos como Bitbucket e npm e termina com o sequestro de dados sensíveis e carteiras digitais. A seguir, destrinchamos o que aconteceu, como funciona o ataque e por que isso muda o cenário de segurança para criadores de conteúdo, profissionais de marketing e usuários comuns.
Como a campanha Contagious Interview fisga suas vítimas
• Início em 2022: o grupo se passa por recrutadores e envia testes técnicos a candidatos.
• O “desafio” exige instalar um aplicativo supostamente legítimo. No caso mais recente, o arquivo malicioso chama-se Chessfi e fica hospedado no Bitbucket.
• A infecção observada pela Talos atingiu uma empresa do Sri Lanka — sem alvo estratégico aparente, apenas porque um funcionário caiu no golpe.
O que mudou: BeaverTail e OtterCookie viram praticamente uma ferramenta só
• BeaverTail, até então, atuava como ladrão de informações e downloader.
• OtterCookie, descoberto em setembro de 2024, era usado para receber comandos remotos.
• Agora, no que a Talos chama de OtterCookie v5, funções de ambos convergem: keylogger, captura de tela, monitoramento de área de transferência, inventário de perfis de navegador, furto de carteiras e instalação do backdoor Python InvisibleFerret.
• O malware também instala o AnyDesk para acesso persistente.
Detalhes técnicos da infecção via npm e Bitbucket
• Dependência maliciosa: pacote node-nvm-ssh publicado em 20/08/2025, com 306 downloads antes de ser removido.
• Esse pacote foi um dos 338 módulos comprometidos listados pela empresa Socket.
• O package.json inclui um postinstall hook que executa o script “skip”, iniciando index.js e, depois, file15.js, responsáveis por trazer a carga final.
• Para keylogging e screenshots, os atacantes se aproveitam de bibliotecas legítimas como node-global-key-listener e screenshot-desktop.
Módulos que colocam seu browser e criptomoedas em risco
• Shell remoto: coleta informações do sistema e clipboard, usa socket.io-client para receber comandos.
• Upload de arquivos: varredura por termos como “metamask”, “bitcoin”, “backup” e “phrase”, enviando resultados ao servidor C2.
• Stealer de extensões: visa carteiras em Chrome e Brave, sobrepondo alvos já vistos no BeaverTail.
• Ainda foram vistos artefatos em Qt e até uma extensão maliciosa do VS Code, indicando testes de novos vetores de distribuição.
Da Blockchain ao NPM: por que esta fusão de malwares acende um alerta vermelho para toda a cadeia de software
O movimento dos hackers norte-coreanos revela três tendências que profissionais de tecnologia não podem ignorar:
Imagem: Internet
1. Infraestrutura descentralizada como C2
Ao usar a técnica EtherHiding, o grupo armazena instruções no blockchain BNB Smart Chain e Ethereum. Como esses dados são imutáveis e distribuídos, derrubar o comando-e-controle deixa de ser trivial.
2. Supply chain é o novo campo de batalha
Publicar um pacote malicioso no npm com nome inofensivo — e baixado centenas de vezes em poucos dias — mostra o quão frágil é a confiança em repositórios públicos. Para equipes de DevOps, a lição é clara: auditabilidade de dependências deixou de ser opcional.
3. Convergência de funções em malwares modulares
Unir BeaverTail e OtterCookie em uma única base de código agiliza a manutenção e amplia o poder de ataque. Na prática, qualquer desenvolvedor que execute npm install sem verificação pode, em segundos, entregar sua máquina — e seus tokens de criptomoeda — a um invasor com múltiplas capacidades.
Em suma, o caso BeaverTail-OtterCookie escancara como a engenharia social, aliada a brechas na distribuição de software, pode atingir desde empresas globais até freelancers que só queriam um novo emprego. Monitorar pacotes, limitar privilégios de execução e segmentar carteiras digitais fora do navegador são medidas que, a partir de agora, deveriam estar no checklist de qualquer profissional que leve segurança a sério.
