Os golpes digitais estão cada vez mais criativos, e o grupo norte-coreano Famous Chollima é um dos que mais sabe explorar esse talento sombrio. Alinhado ao regime da Coreia do Norte, o grupo voltou à ativa com uma campanha que mistura os malwares BeaverTail e OtterCookie para enganar profissionais em busca de emprego, roubar dados sensíveis e, claro, criptomoedas.
A nova campanha, identificada no Sri Lanka, mostra que a engenharia social e os ataques à cadeia de suprimentos continuam sendo armas eficazes na mão de cibercriminosos sofisticados.
Golpe começa com um app de xadrez com criptomoeda
Tudo começa com um app de xadrez web3 chamado “Chessfi”, que supostamente permite apostas em criptomoeda. Um usuário no Sri Lanka clonou um repositório Bitbucket relacionado ao app, sem saber que estava trazendo junto um pacote NPM malicioso chamado “node-nvm-ssh”. Esse pacote executa scripts de instalação que ativam cargas úteis JavaScript ofuscadas escondidas em arquivos como “test.list”.
Essas cargas são o coração da armadilha. Nelas, encontramos a fusão entre as funcionalidades dos malwares BeaverTail e OtterCookie, transformando o que antes eram ferramentas separadas em um pacote de espionagem completo e coordenado.
BeaverTail e OtterCookie: parceria do mal
BeaverTail é encarregado de mapear perfis de navegador e extensões de carteiras de criptomoedas como MetaMask, Phantom e Solflare em navegadores como Chrome, Brave e Edge. Ele também baixa componentes Python do malware InvisibleFerret a partir de servidores C2 (comando e controle), instalando Python nos sistemas infectados para garantir execução.
Já OtterCookie entra como um canivete suíço modular. Entre os módulos: acesso remoto ao sistema usando socket.io-client, coleta de arquivos sensíveis, e roubo de credenciais. Uma das novidades mais preocupantes surgiu em abril de 2025: um módulo que captura teclas digitadas (keylogger), tira screenshots, monitora a área de transferência (clipboard) e armazena tudo temporariamente antes de enviar aos servidores de controle. Sim, isso está acontecendo agora.
Ah, e se você usa macOS, o comando nativo “pbpaste” pode estar sendo usado contra você. No Windows, o PowerShell faz o trabalho sujo.
VS Code como vetor de ataque?
Como se não bastasse, pesquisadores da Cisco Talos identificaram uma extensão suspeita para o Visual Studio Code, disfarçada como ferramenta de onboarding.
O código embutido nela é assustadoramente parecido com o usado nos outros vetores. Ainda que a autoria dessa extensão específica não tenha sido confirmada, tudo aponta para uma nova tentativa do grupo em explorar ferramentas populares entre desenvolvedores.
Evolução rápida e perigosa dos malwares
Desde o final de 2024, OtterCookie já passou por cinco versões. A primeira era básica, focada em execução remota de comandos. A versão mais recente, de agosto de 2025, vem equipada com checagem de ambiente (para escapar de sandboxes) e técnicas avançadas de carregamento de código. O carregamento agora é feito por strings modulares, descartando a antiga dependência de cookies HTTP.
BeaverTail, por sua vez, está ativo desde meados de 2023 e também evoluiu. Suas URLs de C2 agora são embaralhadas em base64 e há suporte multiplataforma, com presença frequente em ataques à cadeia de suprimentos.
Quem é o famoso Chollima, afinal?
Famous Chollima tem mais codinomes do que uma banda de K-pop: Wagemole, Purple Bravo, Nickel Tapestry, Storm-1877… a lista segue. É um grupo com ligação direta ao Bureau Geral de Reconhecimento da Coreia do Norte, atuando desde pelo menos 2018.
Seus alvos principais são os setores de tecnologia, blockchain e criptomoedas e a motivação é simples: dinheiro e espionagem para financiar o regime norte-coreano.
O grupo é especialista em engenharia social. Fingem ser trabalhadores remotos legítimos, criam currículos falsos com ajuda de IA generativa e se infiltram em empresas de pequeno e médio porte via plataformas como Upwork e LinkedIn.
Depois que conseguem uma vaga, instalam malwares como BeaverTail, InvisibleFerret ou o temido PylangGhost este último baseado em Python para acessar sistemas, roubar dados e enviar tudo criptografado via RC4 para seus servidores.
Embora os focos principais do grupo sejam Índia, EUA, Alemanha e Ucrânia, o incidente recente no Sri Lanka mostra que estão ampliando seus horizontes e ninguém está realmente seguro.
Amostra dos ataques identificados
Segundo a plataforma PolySwarm, duas amostras associadas à campanha já foram catalogadas:
caad2f3d85e467629aa535e0081865d329c4cd7e6ff20a000ea07e62bf2e439483c145aedfdf61feb02292a6eb5091ea78d8d0ffaebf41585c614723f36641d8
Essas amostras reforçam a sofisticação e o alcance da campanha, exigindo atenção redobrada de profissionais de segurança e equipes de TI.
E você já revisou seus processos de contratação remota ultimamente? E as extensões que seus desenvolvedores instalam no VS Code, alguém monitora? Porque, do jeito que está, contratar pode ser o novo vetor de ataque.
Sendo assim, não se engane, esse ataque foi identificado bem longe do Brasil, no entanto, serve como um alerta de que os golpes estão evoluindo ainda mais com uso de IA.
