{
	"id": "bb981cd2-a080-444f-89f3-0bae8b16e4e7",
	"created_at": "2026-04-06T00:12:27.303005Z",
	"updated_at": "2026-04-10T13:11:36.541785Z",
	"deleted_at": null,
	"sha1_hash": "c7eb1678611f476536e33eb1a1ba133e7a28e953",
	"title": "Contagious Interviewが使用する新たなマルウェアOtterCookieについて",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 939396,
	"plain_text": "Contagious Interviewが使用する新たなマルウェアOtterCookie\r\nについて\r\nBy NTTセキュリティ・ジャパン株式会社\r\nPublished: 2024-12-25 · Archived: 2026-04-05 16:45:31 UTC\r\nBy Masaya Motoda, Rintaro Koike\r\nPublished December 25, 2024 | Japanese\r\n本記事はSOCアナリスト元田匡哉、小池倫太郎が執筆したものです。\r\nはじめに\r\nContagious Interviewは北朝鮮に関連する攻撃キャンペーンであると言われており、2023年11月にPalo\r\nAlto Networks社からレポートが公開されました。Contagious Interviewは一般的な国家支援型の標的型攻\r\n撃とは違い、比較的広範囲に対して金銭的なモチベーションで攻撃を行っているとされています。\r\nSOCでは時折Contagious Interviewによるインシデントを観測しており、日本の組織も注意が必要です。\r\nSOCでは2024年11月頃から、Contagious InterviewキャンペーンにおいてBeaverTailやInvisibleFerret以外の\r\nマルウェアを実行していることを観測しています。私達は新たに観測したマルウェアをOtterCookieと\r\n呼び、その調査を行いました。本稿では、OtterCookieについて、その実行フローと詳細な挙動につい\r\nて紹介します。\r\n実行フロー\r\nContagious Interviewの攻撃起点は様々なパターンがありますが、その多くはGitHubやBitbucketからダウ\r\nンロードしたNode.jsのプロジェクトやnpmパッケージとなっています。最近ではQtやElectronを使用し\r\nてアプリケーション化されたファイルが起点[2]となることもあり、攻撃者が積極的に試行錯誤してい\r\nることが伺えます。\r\nhttps://jp.security.ntt/tech_blog/contagious-interview-ottercookie\r\nPage 1 of 6\n\nローダー\r\nOtterCookieを実行するローダーについては、これまでにいくつかのレポート[3][4][5]で紹介されていま\r\nす。これらのレポートに書かれているとおり、リモートからJSONデータをダウンロードし、その\r\ncookieプロパティをJavaScriptコードとして実行します。\r\nまた、単純にJavaScriptコードをダウンロードして実行するパターンも観測しています。この場合、\r\nHTTPステータスコードは500となっており、catchブロックに制御が移り、JavaScriptコードを実行しま\r\nす。\r\nこのローダーはほとんどの場合BeaverTailを実行する際に使用されますが、稀にOtterCookieが実行され\r\nることを観測しています。また、OtterCookieとBeaverTailが同時に実行される例も観測しています。\r\nOtterCookie\r\n私達は2024年11月にOtterCookieを観測し始めましたが、実際には2024年9月頃から使用されていた可能\r\n性があります。9月と11月では若干実装に差異がありますが、基本的な機能は同一です。ここでは、11\r\n月に観測されたOtterCookieをベースに解析結果を示しつつ、9月のOtterCookieとの興味深い差分を共有\r\nします。\r\n11月に観測されたOtterCookieでは、Socket.IOを使用してリモートと通信を行っており、socketServer関\r\n数でリモートからのコマンドを受け取り、シェルコマンドを実行する機能（command）や、端末情報\r\nを窃取する機能（whour）を確認しています。\r\nhttps://jp.security.ntt/tech_blog/contagious-interview-ottercookie\r\nPage 2 of 6\n\nsocketServer関数のcommandにおいて、以下のリモートから送られたシェルコマンドを観察すると、ド\r\nキュメントファイル、画像ファイル、および暗号資産関係などのファイルから暗号資産ウォレットに\r\n関するキーを収集し、リモートへ送信する様子が見られました。またlsコマンドやcatコマンドを用いて\r\n環境調査をする様子も観測しています。\r\nhttps://jp.security.ntt/tech_blog/contagious-interview-ottercookie\r\nPage 3 of 6\n\n9月に観測されたOtterCookieでは、暗号資産ウォレットに関するキーの窃取機能は予め実装されていま\r\nす。例えばcheckForSensitiveData関数ではイーサリアムの秘密鍵などを正規表現でチェックしていま\r\nす。これらは、11月のOtterCookieでは、リモートからのシェル コマンドによって実現されています。\r\nまた11月のOtterCookieには、以下のようにclipboardyというライブラリを用いて被害端末のクリップボ\r\nード情報をリモートへ送信します。しかし、9月のOtterCookieに同様の機能は見られません。\r\nhttps://jp.security.ntt/tech_blog/contagious-interview-ottercookie\r\nPage 4 of 6\n\nおわりに\r\n本稿ではContagious Interviewが使用する新たなマルウェアであるOtterCookieについて紹介しました。\r\nContagious Interviewは積極的に試行錯誤して攻撃手法をアップデートし続けており、また日本でも攻撃\r\nが観測されているため、十分に注意が必要です。\r\nIoCs\r\nファイルハッシュ値（SHA256）\r\nd19ac8533ab14d97f4150973ffa810e987dea853bb85edffb7c2fcef13ad2106\r\n7846a0a0aa90871f0503c430cc03488194ea7840196b3f7c9404e0a536dbb15e\r\n4e0034e2bd5a30db795b73991ab659bda6781af2a52297ad61cae8e14bf05f79\r\n32257fb11cc33e794fdfd0f952158a84b4475d46f531d4bee06746d15caf8236\r\n通信先\r\n45[.]159.248.55\r\nzkservice[.]cloud\r\nw3capi[.]marketing\r\npayloadrpc[.]com\r\n参考文献\r\nhttps://jp.security.ntt/tech_blog/contagious-interview-ottercookie\r\nPage 5 of 6\n\n[1] Palo Alto Networks, \"Hacking Employers and Seeking Employment: Two Job-Related Campaigns Bear\r\nHallmarks of North Korean Threat Actors\", https://unit42.paloaltonetworks.com/two-campaigns-by-north-korea-bad-actors-target-job-hunters/\r\n[2] マクニカ, \"北からのジョブオファー: ソフトウェア開発者を狙うContagious\r\nInterview\", https://security.macnica.co.jp/blog/2024/10/-contagious-interview.html\r\n[3] Phylum, \"North Korea Still Attacking Developers via npm\", https://blog.phylum.io/north-korea-still-attacking-developers-via-npm/\r\n[4] Group-IB, \"APT Lazarus: Eager Crypto Beavers, Video calls and Games\", https://www.group-ib.com/blog/apt-lazarus-python-scripts/\r\n[5] Zscaler, \"From Pyongyang to Your Payroll: The Rise of North Korean Remote Workers in the\r\nWest\", https://www.zscaler.com/blogs/security-research/pyongyang-your-payroll-rise-north-korean-remote-workers-west\r\nSource: https://jp.security.ntt/tech_blog/contagious-interview-ottercookie\r\nhttps://jp.security.ntt/tech_blog/contagious-interview-ottercookie\r\nPage 6 of 6",
	"extraction_quality": 1,
	"language": "JA",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://jp.security.ntt/tech_blog/contagious-interview-ottercookie"
	],
	"report_names": [
		"contagious-interview-ottercookie"
	],
	"threat_actors": [
		{
			"id": "4fc99d9b-9b66-4516-b0db-520fbef049ed",
			"created_at": "2025-10-29T02:00:51.949631Z",
			"updated_at": "2026-04-10T02:00:05.346203Z",
			"deleted_at": null,
			"main_name": "Contagious Interview",
			"aliases": [
				"Contagious Interview",
				"DeceptiveDevelopment",
				"Gwisin Gang",
				"Tenacious Pungsan",
				"DEV#POPPER",
				"PurpleBravo",
				"TAG-121"
			],
			"source_name": "MITRE:Contagious Interview",
			"tools": [
				"InvisibleFerret",
				"BeaverTail",
				"XORIndex Loader",
				"HexEval Loader"
			],
			"source_id": "MITRE",
			"reports": null
		}
	],
	"ts_created_at": 1775434347,
	"ts_updated_at": 1775826696,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/c7eb1678611f476536e33eb1a1ba133e7a28e953.pdf",
		"text": "https://archive.orkl.eu/c7eb1678611f476536e33eb1a1ba133e7a28e953.txt",
		"img": "https://archive.orkl.eu/c7eb1678611f476536e33eb1a1ba133e7a28e953.jpg"
	}
}