A equipe Cisco Talos firmou nova campanha do grupo norte-coreano Famous Chollima, que utiliza oferta de empregos falsos para induzir vítimas a instalar os malwares BeaverTail e OtterCookie, agora reunidos em um único pacote para ampliar impactos e furtividade. O ataque começa com o download de um aplicativo malicioso, sem quais comandos disfarçados instalam o pacote adulterado “node-nvm-ssh”, responsável por carregar as funcionalidades combinadas dos dois malwares.
Leia também
Como o Google usa IA para migrar seu próprio código
Quadrilha de ransomware ataca clientes da Salesforce
A evolução do OtterCookie mostra amadurecimento técnico: da simples coleta de perfis de navegador e dados da área de transferência (V1 e V2), passou a roubar arquivos específicos de todos os discos montados (V3), e nas versões mais recentes (V5, entre abril e agosto de 2025) incorporou módulos avançados para keylogging e captura de tela (capturas de tela a cada quatro segundos). Esses dados são continuamente enviados ao servidor de comando e controle dos invasores.
O foco dos ataques está no roubo de dados financeiros, principalmente carteiras de criptomoedas e extensões como MetaMask, Trust Wallet e Binance Chain Wallet. O grupo também aprimorou a acomodação, migrando funções críticas para JavaScript, facilitando a distribuição e ampliando o leque de navegadores alvo. As campanhas baseiam-se fortemente em esquemas de emprego falsos, usados para camuflar a motivação real: espionagem e furto de ações digitais.
Pesquisas anteriores já identificaram a tática em outros grupos norte-coreanos (como Lazarus), mas o BeaverTail e OtterCookie evoluíram e se consolidaram como ferramentas centrais para a ameaça, evidenciando que golpes baseados em ofertas de trabalho são parte estratégica do crime cibernético estatal na região.
