Waterplum

O grupo de ameaças da Coreia do Norte, conhecido como WaterPlum, está por trás da campanha Contagious Interview, que utiliza uma nova técnica de distribuição de malware chamada StoatWaffle. Essa técnica envolve o uso de projetos maliciosos do Microsoft Visual Studio Code (VS Code), especificamente através do arquivo ’tasks.json’, que ativa a execução do malware sempre que um arquivo na pasta do projeto é aberto. O malware verifica se o Node.js está instalado e, se não estiver, o baixa e instala. Em seguida, ele se conecta a um servidor externo para baixar um downloader que executa comandos maliciosos. O StoatWaffle possui dois módulos principais: um stealer que captura credenciais de navegadores e um trojan de acesso remoto (RAT) que permite o controle do sistema infectado. A campanha também inclui a distribuição de pacotes npm maliciosos e a inserção de código JavaScript em repositórios públicos do GitHub. Os atacantes utilizam processos de recrutamento falsos para enganar desenvolvedores, visando profissionais seniores em setores como criptomoedas. A Microsoft implementou medidas de mitigação para proteger os usuários do VS Code contra essa ameaça. Essa situação destaca a necessidade de vigilância constante e medidas de segurança robustas para proteger sistemas de desenvolvimento.

Pesquisadores identificaram um aumento nas táticas sofisticadas de cadeia de suprimentos do grupo WaterPlum, vinculado à Coreia do Norte, especificamente sua Cluster B, que ampliou a distribuição do malware OtterCandy por meio da campanha ClickFake Interview no Japão e em outras regiões. Desde julho de 2025, a Cluster B mudou seu foco para um RAT (Remote Access Trojan) baseado em Node.js, chamado OtterCandy, que combina recursos de ferramentas anteriores e permite a exfiltração de dados de forma mais eficiente. O malware se conecta a um servidor de comando e controle (C2) via Socket.IO, transmitindo informações do sistema e coletando credenciais de navegadores, arquivos de carteiras de criptomoedas e documentos do usuário. A versão 2 do OtterCandy introduziu melhorias significativas, como a coleta de dados completos de perfis de navegadores e um comando que apaga vestígios de sua presença. Organizações no Japão e em regiões afetadas devem reforçar suas regras de detecção de endpoints e monitorar atividades suspeitas relacionadas ao Node.js. A evolução do OtterCandy representa um ponto crítico nas operações de atores de ameaças da Coreia do Norte, exigindo vigilância reforçada em controles de segurança de cadeia de suprimentos e endpoints.