Wie Elastic Security Labs berichtet, tauchten die Nachrichten im Slack-Kanal #jobs auf und stammten von einem Nutzer namens Maxwell. Gesucht wurde ein erfahrener Entwickler für die Modernisierung einer E-Commerce-Plattform hin zu einer „modernen, skalierbaren Architektur mit Next.js (v14), NestJS, PostgreSQL und Auth.js“ einschließlich Stripe-Integration.

Interessenten wurden anschließend in Direktnachrichten weitergeleitet. Dort sollten sie als Teil des Bewerbungsprozesses eine Coding-Aufgabe absolvieren. Genau dieses Muster ist laut Elastic ein typischer Trick aus Contagious-Interview-Kampagnen: Die Aufgabe führt zur Ausführung eines präparierten Repositorys, das Daten abzieht und zugleich eine Socket.IO-Hintertür einrichtet.

Besonders auffällig ist der Aufbau der Repositories. Sie enthalten funktionsfähigen, legitim wirkenden Code, verstecken aber zusätzlich Schadcode in SVG-Bildern, um Erkennung zu umgehen. Elastic beschreibt, dass die Projekte äußerlich problemlos laufen, während der Schadcode unbemerkt im Hintergrund ausgelöst wird. Die Nutzlast ist dazu in Base64-Fragmente zerlegt und in HTML-Kommentaren über sämtliche SVG-Flaggenbilder in einem assets-Verzeichnis verteilt.

Die Dateien wirken demnach wie gewöhnliche Landesflaggen, etwa AE.svg oder AF.svg, enthalten aber jeweils eingeschleuste Kommentarblöcke mit Base64-kodierten Daten. Zusammengesetzt wird die Nutzlast anschließend durch eine JavaScript-Datei namens serverValidation.js, die im Repository enthalten ist. Laut Elastic ist die Angriffskette so konstruiert, dass die Malware bei jedem Serverstart ausgeführt wird.

Elastic sieht Überschneidungen der Hauptnutzlast mit OtterCookie, einer plattformübergreifenden Malware, die erstmals im September 2024 aufgetaucht ist. Microsoft hatte im März erklärt, OtterCookie habe sich von einem einfachen Werkzeug für das Ausführen entfernter Befehle und die Suche nach Kryptoschlüsseln zu einem modularen Programm weiterentwickelt, das umfassenderen Datendiebstahl beherrscht. Genannt wurden unter anderem Prüfungen auf virtuelle Umgebungen, die Installation von Kommunikationsclients wie Socket.IO für Command-and-Control, das Exfiltrieren von Informationen, das Ausführen beliebiger Shell-Befehle, das Nachladen weiterer Module zur gezielten Datensammlung und das Zurückmelden der Ergebnisse.

In der jetzt beobachteten Variante kommen vier Module zum Einsatz. Sie können Daten aus Webbrowsern und Kryptowallets sammeln, Dateien anhand einer Liste bestimmter Erweiterungen stehlen, per Socket.IO-basiertem Trojaner dauerhafte Fernsteuerung mit Shell-Befehlen ermöglichen, Zwischenablage-Inhalte erfassen und Windows-Programme ablegen.

Unter den von OtterCookie eingesammelten Dateien fanden sich laut Elastic auch Erweiterungen von Werkzeugen für KI-gestütztes Programmieren, darunter .claude, .cursor, .gemini, .windsurf, .pearai und .llama. Das deute darauf hin, dass die Akteure ihr Arsenal aktiv ausbauen, um möglichst viele Informationen abzuschöpfen.

Elastic verweist außerdem auf funktionale Überschneidungen mit einem Datendieb und Trojaner, die über gefälschte npm-Pakete verbreitet wurden, die sich als Rollup-Polyfill-Werkzeuge ausgaben. Das spreche dafür, dass die Angreifer mehrere Verbreitungswege parallel verfolgen. Die Kampagne selbst ordnet Elastic staatlich unterstützten Hackern zu, die mit der Demokratischen Volksrepublik Korea verbunden sind und gezielt Entwickler ins Visier nehmen, um sensible Daten und Kryptowallets zu stehlen.