Ameaças Coreanas Usam Esteganografia em SVG para Distribuir Malware em Testes de Código Falsos

Ameaças Coreanas Usam Esteganografia em SVG para Distribuir Malware em Testes de Código Falsos

Campanha REF9403 utiliza engenharia social em plataformas como Slack para entregar payload OTTERCOOKIE oculto em imagens de bandeiras de países visando desenvolvedores.

ComponenteRepositórios Git clonados (testes de código), arquivos SVG com esteganografia (bandeiras), malware OTTERCOOKIE.
VetorEngenharia social via Slack e mensagens diretas, seguida da execução de desafio de código maligno que decodifica payload oculto em comentários HTML de imagens vetoriais.
ImpactoRoubo de credenciais de navegador e carteiras cripto, exfiltração de arquivos, acesso remoto persistente via RAT Socket.IO e comprometimento de cadeia de suprimentos.
PrioridadeInspeção estática de arquivos SVG em projetos de terceiros, bloqueio de tráfego Socket.IO não autorizado e validação rigorosa de contatos de recrutamento.
Resumo técnico

A campanha rastreada sob o identificador REF9403, atribuída a atores de ameaças da Coreia do Norte e vinculada à operação de engenharia social 'Contagious Interview', demonstrou uma evolução técnica significativa ao empregar esteganografia em arquivos de imagem SVG para ocultar payloads maliciosos. Segundo análises do Elastic Security Labs, os adversários têm se infiltrado em ambientes de trabalho colaborativo, especificamente canais de emprego em Slack, utilizando perfis fraudulentos, como o usuário 'Maxwell', para abordar desenvolvedores. A isca utilizada é uma oferta de emprego para a atualização de uma plataforma de e-commerce, exigindo expertise em um stack tecnológico moderno que inclui Next.js (v14), NestJS, PostgreSQL, Auth.js e integração com Stripe. Ao captar o interesse da vítima, o atacante induz a realização de um teste de código prático, que na verdade é a porta de entrada para a infecção. Este método resgata a tática de entrevistas contaminadas, ativa desde pelo menos dezembro de 2022, mas introduz um novo vetor de acesso inicial por meio de comunidades profissionais online.

O repositório fornecido para a 'avaliação técnica' contém código funcional legítimo, o que dificulta a suspeita imediata, mas também carrega um mecanismo oculto de execução de comando. Dentro do diretório de ativos do projeto, os atacantes inseriram imagens SVG de bandeiras de países, como AE.svg e AF.svg. Embora visualmente sejam gráficos normais, esses arquivos possuem blocos de comentários HTML injetados com fragmentos de dados codificados em Base64. Quando o desenvolvedor executa o servidor ou o script de teste, o código malicioso é acionado silenciosamente em segundo plano, decodificando e remontando os fragmentos para iniciar uma carga maliciosa de quatro estágios alinhada à família OTTERCOOKIE. Essa abordagem permite que os atores contornem soluções de segurança baseadas em assinatura que analisam apenas scripts ou executáveis, ignorando arquivos de mídia considerados inofensivos.

Fluxo técnico

A cadeia de ataque começa com o contato inicial via engenharia social, onde mensagens em canais públicos são rapidamente movidas para conversas diretas para escalar a confiança e entregar o material malicioso. O arquivo baixado é um repositório completo onde o exploit reside na capacidade de interpretar os metadados das imagens SVG. O processo de esteganografia utilizado divide o payload em partes menores para dificultar a detecção他他他 estática automatizada. Cada arquivo de bandeira atua como um continente para um pedaço do código. Após a execução do projeto aparentemente inofensivo, um script aglomera os dados Base64, os decodifica e os injeta na memória ou os escreve em disco para execução subsequente.

O payload resultante, alinhado ao malware OTTERCOOKIE, exibe uma arquitetura modular complexa projetada para maximizar a extração de valor financeiro e informações. O primeiro módulo foca no roubo de credenciais armazenadas em navegadores web e em carteiras de criptomoedas, visando o acesso imediato a fundos digitais. Um segundo módulo atua como ladrão de arquivos, Varrendo o sistema em busca de documentos com extensões específicas, provavelmente visando propriedade intelectual, dados de projetos ou informações sensíveis. O terceiro componente é um cavalo de troia de acesso remoto (RAT) baseado na biblioteca Socket[.]IO, que estabelece um canal de comunicação persistente com o servidor de comando e controle (C2), permitindo que os adversários executem comandos de shell remotamente. Finalmente, um quarto módulo monitora a área de transferência (clipboard) para interceptar endereços de carteira cripto durante operações de cópia e colá, facilitando a substituição de endereços de Vítimas em transações. A ameaça também demonstra capacidade de baixar e executar binários do Windows, expandindo o controle sobre o ambiente infectado.

Superficie afetada

O principal alvo desta campanha são desenvolvedores de software, especialmente aqueles que participam ativamente de comunidades de tecnologia e buscam oportunidades de trabalho remoto ou freelance. A escolha de tecnologias específicas como Next.js e Stripe indica que os atacantes buscam profissionais com perfis de desenvolvimento web full-stack ou backend, que frequentemente possuem acesso a repositórios de código, chaves de API e segredos de infraestrutura. Embora a infecção possa se iniciar em sistemas operacionais variados onde o Node.js roda, a capacidade de baixar executáveis do Windows sugere que o ambiente final alvo são estáções de trabalho Windows, comuns em ambientes corporativos de desenvolvimento.

Além do comprometimento direto da máquina do desenvolvedor, existe um risco crítico e amplificado para as organizações empregadoras. A infecção de um único desenvolvedor serve como um vetor inicial para ataques contra a cadeia de suprimentos de software. Com acesso às credenciais e chaves SSH do desenvolvedor, os atores da Coreia do Norte podem comprometer repositórios internos, alterar código em pipelines de CI/CD e distribuir software malicioso para downstream. A sobreposição funcional deste malware com outros trojans distribuídos anteriormente via pacotes npm falsos (que se passavam por ferramentas do Rollup) sugere que os adversários estão testando múltiplos vetores de propagação para garantir a infecção bem-sucedida de alvos de alto valor.

  • Desenvolvedores de software ativos em plataformas de comunicação como Slack.
  • Estáções de trabalho Windows ambientes de desenvolvimento com Node.js instalado.
  • Carteiras de criptomoedas e navegadores web armazenando credenciais.
  • Repositórios de código-fonte privados e pipelines de integração contínua acessíveis pela vítima.
Hunting e telemetria

A detecção dessa ameaça requer uma abordagem que vá além da análise传统 de arquivos executáveis. As equipes de segurança devem configurar regras para escanear arquivos de imagem SVG quanto a conteúdo textual anômalo, especialmente grandes blocos de Base64 dentro de comentários HTML. A presença de arquivos como AE.svg, AF.svg ou outras bandeiras nacionais em diretórios de ativos de projetos de desenvolvimento pode não ser suspeita por si só, mas a combinação com atividade de script subsequente é um forte indicador de comprometimento. A telemetria de endpoints deve monitorar processos Node.js ou interpretadores de comando que leem esses arquivos e logo em seguida estabelecem conexões de rede.

No nível de rede, o tráfego de saída usando o protocolo WebSocket (comum em implementações Socket.IO) para domínios desconhecidos ou recém-registrados deve ser alvo de alertas. O componente RAT depende dessa comunicação para receber comandos, então bloquear ou inspecionar profundamente conexões WebSocket não corporativas é uma medida defensiva eficaz. Além disso, o comportamento de processos que acessam bancos de dados de navegadores (para extrair credenciais) ou que monitoram continuamente a área de transferência deve ser tratado como malicioso, a menos que explicitamente autorizado. A comparação de hash de arquivos SVG baixados versus versões conhecidas de bibliotecas de ícones ou bandeiras pode ajudar a identificar modificações maliciosas.

  • Análise de arquivos SVG em busca de comentários HTML com dados codificados em Base64.
  • Monitoramento de tráfego de rede suspeito via protocolo WebSocket/Socket.IO.
  • Alertas sobre processos que leem bancos de dados de navegadores ou carteiras cripto.
  • Detecção de tentativas de acesso à área de transferência por aplicativos não relacionados à produtividade.
Mitigação

A mitigação desta ameaça começa com a conscientização dos desenvolvedores sobre os riscos de executar código de fontes não verificadas, mesmo que sob o pretexto de um processo seletivo. Organizações devem implementar políticas que exijam a revisão de código (code review) ou a execução de projetos de teste em ambientes isolados (sandbox) ou máquinas virtuais sem acesso à rede corporativa principal e sem credenciais reais. A validação da identidade de recrutadores através de canais oficiais externos, como sites da empresa ou LinkedIn corporativo verificando, é essencial antes de interagir com links ou arquivos enviados.

Tecnicamente, recomenda-se restringir a capacidade de scripts de ler arquivos de imagem fora de diretórios específicos, quando possível. Solução de segurança de endpoint (EDR) deve ser configurada para inspecionar conteúdo de arquivos 'inofensivos' e monitorar o comportamento de aplicações de script (como Node.js) que realizam atividades de sistema operativo, como execução de shell ou acesso à memória de outros processos. A rotação imediata de credenciais e chaves de API utilizadas por desenvolvedores que potencialmente executaram o código malicioso é necessária para conter o movimento lateral e proteger a cadeia de suprimentos de software contra a injeção de código backdoor.

  • Executar testes de código de terceiros exclusivamente em ambientes isolados e sem credenciais.
  • Validar a legitimidade de recrutadores e ofertas de emprego através de canais oficiais.
  • Implementar regras de firewall para monitorar e bloquear conexões WebSocket suspeitas.
  • Rotacionar chaves de acesso e tokens de desenvolvedores em caso de suspeita de infecção.

Postar um comentário

0 Comentários