Pesquisadores de cibersegurança descobriram uma variante atualizada de um malware stealer conhecido, que atacantes afiliados à República Popular Democrática da Coreia têm utilizado em campanhas anteriores de espionagem cibernética direcionadas a candidatos a emprego. O artefato em questão é uma imagem de disco (DMG) do macOS chamada “MiroTalk.dmg”, que imita o serviço legítimo de videochamada de mesmo nome, mas, na realidade, serve como um meio para entregar uma versão nativa do BeaverTail, conforme relatado pelo pesquisador de segurança Patrick Wardle.

BeaverTail refere-se a um malware stealer em JavaScript que foi documentado pela primeira vez pela Palo Alto Networks Unit 42 em novembro de 2023, como parte de uma campanha chamada Contagious Interview, que visa infectar desenvolvedores de software com malware através de um suposto processo de entrevista de emprego. Além de roubar informações sensíveis de navegadores web e carteiras de criptomoedas, o malware é capaz de entregar payloads adicionais como o InvisibleFerret, um backdoor em Python responsável por baixar o AnyDesk para acesso remoto persistente.

O BeaverTail tem sido distribuído através de pacotes npm falsos hospedados no GitHub e no registro de pacotes npm, e as descobertas mais recentes marcam uma mudança no vetor de distribuição. Uma análise do arquivo DMG não assinado revela que ele facilita o roubo de dados de navegadores como Google Chrome, Brave e Opera, carteiras de criptomoedas e o iCloud Keychain. Além disso, ele é projetado para baixar e executar scripts adicionais em Python de um servidor remoto (ou seja, InvisibleFerret).

Esses pacotes, uma vez instalados, baixariam um arquivo remoto, descriptografariam-no, executariam uma função exportada dele e depois cobririam meticulosamente seus rastros deletando e renomeando arquivos.