新たに分析されたマルウェアの一種OtterCookieは、開発者にとって深刻な脅威として浮上しており、アクティブなワークステーションから機密データをリアルタイムで静かに収集しています。
以前の仮説と異なり、OtterCookieはBeaverTailの亜種ではなく、異なるコマンド&コントロール設計と継続的な監視に焦点を当てた独立したNode.jsベースの遠隔アクセストロイの木馬(RAT)です。
セキュリティ研究者は、OtterCookieがEngine.IO v4を使用してSocket.IO経由で動作し、単純なHTTPリクエストに依存する代わりに感染したマシンとの永続的な接続を維持していることを観察しました。
そのインフラストラクチャは積極的に被害者を追跡し、数秒ごとにライブリストをブロードキャストしており、オペレーターが感染したシステムがオンラインのままであることを効果的に監視することができます。
この設計は、従来の「リクエスト-レスポンス」マルウェアから、アクティビティを継続的にストリーミングするシステムへのシフトを示しています。
マルウェアは、195.201.104.53のHetznerサーバーでホストされているインフラストラクチャにリンクされており、複数のサービスが同時に実行されていました。
ポート6931のサービスは、902から906の範囲のキャンペーンIDに関連付けられたmacOSシステムを含む感染デバイスのリストを繰り返しブロードキャストしました。
ポート6101の別の古いサービスはアクティブなままでしたが、データのブロードキャストを続けていないため、初期のキャンペーンアクティビティを示唆しています。
セキュリティ研究者のHunting Lazarusは、GBhackersと共有されたレポートで述べたところによると、OtterCookieはEngine.IO v4を使用してSocket.IO経由で動作し、単純なHTTPリクエストに依存する代わりに感染したマシンとの永続的な接続を維持しています。
OtterCookieの機能は一度限りのデータ盗難をはるかに超えています。保存されたファイルを単に収集する代わりに、ユーザーの行動を継続的に監視します。
OtterCookieマルウェアが開発者の秘密を盗む
クリップボードコンテンツをキャプチャし、キーストロークを記録し、スクリーンショットを撮り、ブラウザの認証情報、暗号ウォレットデータ、SSHキー、環境ファイル、クラウド認証情報、APIトークンなどの開発者の秘密を抽出します。
これにより、攻撃者は開発者がリアルタイムで何をしているかを観察でき、サービスへのログインや認証情報のコピーなどの機密アクションを含みます。
この動作は、すでに保存されている情報の収集に焦点を当てているBeaverTailと鮮明に対比しています。比較すると、OtterCookieは継続的なアクティビティを監視する監視ツールのような役割を果たします。
3番目のツールであるInvisibleFerretは、永続性を維持し長期的なアクセスを可能にすることで、さらに別の役割を果たします。これらのツールは一緒に、開発者をターゲットにした層状の攻撃チェーンを形成します。
研究者はOtterCookieのマルウェアフィールドにおける重要な誤解を特定しました。「uid」と「userKey」というラベルの付いた識別子は、最初は個々の被害者を表しているように見えました。しかし、分析によると、複数の関連のないマシンが同じ値を共有することが多いことが明らかになりました。
これは、これらの識別子がユニークなデバイスではなくキャンペーンバッチを表していることを示しています。実際には、これは防御側がこれらのフィールドに頼って被害者を数えることはできないが、これらを使用して感染を特定のマルウェア波にリンクさせることができることを意味します。
マルウェアのリーチはサプライチェーン攻撃を通じて著しく拡大しました。OtterCookieは悪意のあるnpmパッケージとVercelでホストされているペイロードを通じて配布され、攻撃者と直接相互作用したことがない開発者をターゲットにしています。
Socket.devとThe Hacker Newsからの公開レポートは、2025年後半のキャンペーン波中に約197の悪意のあるパッケージと約31,000のダウンロードを推定しています。
もう1つの重要なアーキテクチャの詳細は、攻撃者インフラストラクチャ内での役割の分離です。
OtterCookieは、制御、データ収集、配信のために異なるシステムを使用しています。制御プレーンはライブセッションと被害者の可視性を管理し、別のアップロードサービスは盗まれたデータのための書き込み専用シンクとして機能します。
この分離はレジリエンスを向上させ、データストレージシステムが変更またはローテーションされた場合でも、監視がアクティブなままであることを保証します。
研究者は「npoint」として知られている関連する亜種も発見しました。これは同様のツーリングとターゲットを共有していますが、異なるコマンド構造を使用しています。
機能は重複していますが、その独特な通信パターンは、同じマルウェアファミリーというより、並列開発である可能性があることを示唆しています。
OtterCookieは、開発者をターゲットにするサイバー攻撃の増加傾向を浮き彫りにしており、リアルタイム監視と認証情報収集は、クラウド環境とソフトウェアサプライチェーン全体でより深い侵害につながる可能性があります。
機密データを静かに観察して抽出する能力は、現代の開発エコシステムで特に危険です。
翻訳元: https://gbhackers.com/ottercookie-malware-steals-dev-secrets/
