Pesquisadores de cibersegurança identificaram versões mais avançadas do malware OtterCookie, utilizado por um grupo ligado à Coreia do Norte responsável pela campanha conhecida como “Contagious Interview”. Desde fevereiro de 2025, surgiram as versões 3 e 4 da ameaça, com capacidades ampliadas de roubo de credenciais e evasão de análise. OtterCookie é um malware multiplataforma entregue por meio de pacotes maliciosos em repositórios como npm, GitHub ou Bitbucket, além de aplicativos falsos de videoconferência. Uma vez instalado, o programa se conecta a servidores externos para executar comandos na máquina infectada.

A versão 3 introduziu um módulo que envia automaticamente arquivos de tipos específicos, como documentos, imagens, planilhas, textos e informações relacionadas a carteiras de criptomoedas, como frases de recuperação. Esse recurso já existia em versões anteriores, mas era ativado apenas por comando remoto. Na versão 4, foram adicionados dois novos módulos capazes de extrair credenciais do navegador Google Chrome e da extensão MetaMask, também compatíveis com o navegador Brave e o serviço iCloud Keychain.

Além disso, o malware passou a detectar se está sendo executado em ambientes de máquina virtual como VMware, VirtualBox, Microsoft Hyper-V e QEMU, dificultando sua análise por especialistas. Pesquisadores apontam que as diferenças nos métodos de coleta de dados indicam a participação de desenvolvedores distintos na criação dos módulos. O grupo responsável também tem usado outras estratégias, como uma falsa atualização de driver da Realtek que, ao ser aberta no macOS, instala um aplicativo fraudulento projetado para roubar senhas e informações do sistema da vítima.