概要:巧妙化する攻撃手法
Cisco Talosの研究者たちは、北朝鮮のハッカー集団LazarusのサブグループであるFamous Chollimaによる巧妙なキャンペーンを明らかにしました。このキャンペーンでは、BeaverTailとOtterCookieというブレンドされたJavaScriptツールが展開され、ステルス性の高いキーロギング、スクリーンショットのキャプチャ、データ窃取が行われています。
この活動は、より広範な「Contagious Interview」作戦の一部であり、以前は別個だったツールセット間の境界を曖昧にし、認証情報窃取と監視のための新しいモジュールを明らかにしています。
「Contagious Interview」作戦の進化
最近の事例では、Talosはスリランカの組織で感染を確認しました。ユーザーが偽の求人を受け入れた後、Web3ベースのチェスプラットフォームと謳われたトロイの木馬化されたNode.jsプロジェクト「ChessFi」をインストールしたことが原因です。正当な開発環境の代わりに、npmの依存関係には悪意のあるパッケージ「node-nvm-ssh」が含まれており、これが一連のpostinstallスクリプトをトリガーし、最終的に高度に難読化されたペイロードを実行しました。
このペイロードは、BeaverTailのブラウザプロファイル列挙およびPythonスティーラーダウンローダーと、OtterCookieのJavaScriptベースモジュール(新しいキーロギング機能を含む)を融合させたものです。
新モジュール:キーロギングとスクリーンショット機能
Talosは、これまで文書化されていなかったOtterCookieモジュールを発見しました。これは、キーストロークを同時に記録し、定期的にスクリーンショットをキャプチャするものです。このモジュールは、キーストロークイベントにNode.jsパッケージ「node-global-key-listener」を、画像キャプチャに「screenshot-desktop」を、フォーマット変換に「sharp」を使用しています。
キーストロークは一時フォルダ内の「1.tmp」に、スクリーンショットは「2.jpeg」に書き込まれます。キーストロークは1秒ごとにディスクにフラッシュされ、スクリーンショットは4秒ごとに撮影されます。一部の亜種では、クリップボード監視も統合されており、コピーされたテキストを収集することが可能でした。盗まれたデータと画像は、C2サーバーのTCPポート1478にある「/upload」エンドポイントを介してOtterCookie C2サーバーにアップロードされ、目立った警告を発することなくリアルタイム監視を可能にしています。C2サーバーとの通信には「socket.io-client」パッケージが使用されています。
OtterCookieのその他の機能とVS Code拡張の悪用
さらなる分析により、OtterCookieの他の機能も明らかになりました。
- リモートシェルモジュール:ホストプラットフォームを検出し、仮想環境を検証し、システム情報を収集し、ポート1418でsocket.io-clientを介したWebSocketベースのコマンドループを維持します。
- ファイルアップロードモジュール:ドライブを走査し、システムフォルダを除外し、ドキュメント、スクリプト、ウォレットファイルを窃取します。
- 隠された暗号通貨拡張機能スティーラー:ChromeおよびBraveプロファイルを標的とします。
注目すべきは、研究者たちが「Onboarding Helper」と偽装した悪意のあるVS Code拡張機能も発見したことです。これにはOtterCookieコードが埋め込まれており、開発者のエディタ環境内で直接感染を引き起こします。この拡張機能のFamous Chollimaへの帰属は暫定的ですが、脅威アクターが多様な攻撃ベクトルを試していることを示しています。
BeaverTailとツールの進化
BeaverTailは、2023年半ばにPythonベースのInvisibleFerretスティーラーモジュールの軽量ダウンローダーとして初めて確認され、長らく認証情報の収集とリモートアクセスインストールの促進に利用されてきました。時間の経過とともに、Obfuscator.ioによるコード難読化、シャッフルされたbase64 C2 URLスキーム、さらにはQtコンパイルされたC++亜種も採用しています。
一方、OtterCookieの初期ローダー(HTTP応答クッキーを使用してJavaScriptコードをフェッチ)は5つのバージョンを経て進化しました。各バージョンでクリップボード窃取、ファイル窃取、サンドボックス回避のモジュールが追加され、2025年8月に確認されたバージョン5では、キーロギングとスクリーンショット機能が加わっています。
最近のChessFi攻撃では、BeaverTailのブラウザ拡張機能ターゲティングとPythonダウンローダー機能がOtterCookieのJavaScriptモジュールとシームレスに融合し、Windowsホスト上で完全なPythonランタイムを必要としない形になっています。
対策:組織が講じるべき防御策
組織は、これらのブレンドされた脅威から防御するために、以下の対策を講じることができます。
- アプリケーションのホワイトリスト化を徹底する。
- 予期せぬnpm依存関係を監視する。
- JavaScriptとPythonの両方の実行ファイルを検査するエンドポイント保護ソリューションを活用する。
- Cisco Secure Endpointは悪意のあるスクリプトの実行をブロックできます。
- Secure EmailおよびSecure Firewallアプライアンスは、フィッシング詐欺の誘い込みやC2トラフィックの配信を防ぐことができます。
- Stealthwatchなどのネットワーク分析ツールは、既知のBeaverTailおよびOtterCookieのC2ポート(1224、1244、1418、1478)への異常な接続を警告できます。
- 開発環境の定期的な監査と厳格なコードレビュープロセスは、トロイの木馬化されたオープンソースプロジェクトによるリスクをさらに低減します。
ローダーコードは小さく見落としやすいため、誤検知のリスクと相まって、VirusTotalでのOtterCookieローダーの検出はあまり成功していません。