Malware oculto en imágenes SVG amenaza a desarrolladores con pruebas falsas

Publicado el

Introducción

Recientes investigaciones han revelado que un grupo de hackers norcoreanos está utilizando esteganografía en archivos de imágenes SVG para ocultar malware en el contexto de pruebas de codificación fraudulentas. Este ataque es parte de la campaña denominada REF9403, que busca robar información sensible de desarrolladores de software.

Método de ataque

Los atacantes han estado dirigiendo sus esfuerzos hacia la comunidad de desarrolladores mediante anuncios de trabajo falsos. Según un informe de Elastic Security Labs, cualquier usuario que ejecute el proyecto se ve expuesto a un payload de cuatro etapas alineado con OTTERCOOKIE. Este incluye un ladrón de credenciales de navegador y billeteras de criptomonedas, un ladrón de archivos, un Remote Access Trojan (RAT) basado en Socket.IO, y un ladrón de portapapeles.

Las pruebas de codificación se han distribuido a través de un canal de Slack, donde los atacantes publicaron un mensaje solicitando un desarrollador experimentado para actualizar una plataforma de comercio electrónico. Aquellos que mostraron interés recibieron instrucciones para completar una evaluación de codificación que, en realidad, contenía un repositorio trojanizado con malware.

Estructura del malware

El malware se oculta dentro de un repositorio que, aunque parece contener código funcional, en realidad incorpora código malicioso en forma de imágenes SVG. Los archivos SVG, que aparentan ser imágenes normales de banderas de países, contienen bloques de comentarios inyectados con datos codificados en Base64. Esto permite que el malware evada la detección durante su ejecución.

Un archivo JavaScript, serverValidation.js, presente en el repositorio, ensambla el payload al iniciarse el servidor. Este malware se activa en cada arranque del servidor, lo que permite un acceso persistente.

Evolución de OtterCookie

El payload principal está relacionado con OtterCookie, un malware que apareció por primera vez en septiembre de 2024. Este ha evolucionado desde una herramienta básica para ejecutar comandos remotos hasta un programa modular capaz de robar datos de manera más amplia. OtterCookie puede verificar entornos de máquinas virtuales, instalar clientes de comunicación como socket.io para el control remoto y exfiltrar información valiosa.

Objetivos y consecuencias

El malware está diseñado para recolectar datos de navegadores y billeteras de criptomonedas, así como archivos con extensiones específicas, facilitando así el control remoto persistente. Entre los archivos que busca se incluyen extensiones de herramientas de codificación de inteligencia artificial, lo que indica un refinamiento continuo en las tácticas de los atacantes.

Esta campaña subraya que los desarrolladores son un objetivo primordial, ya que la compromiso de un solo individuo puede abrir la puerta a ataques de cadena de suministro de mayor envergadura contra organizaciones más amplias. La efectividad de estas operaciones resalta la vulnerabilidad del sector, donde un único acceso puede tener repercusiones significativas.

Conclusión

La amenaza que representan los ataques dirigidos a desarrolladores con pruebas de codificación fraudulentas destaca la necesidad de mantener una vigilancia constante y adoptar medidas de seguridad robustas en el desarrollo de software. La comunidad de ciberseguridad debe estar alerta ante estos métodos cada vez más sofisticados para proteger datos sensibles y asegurar la integridad de los proyectos.

Fuente

Ver noticia original