Void Dokkaebi, gruppo di intrusione allineato alla Corea del Nord e noto anche come Famous Chollima, aggiorna InvisibleFerret e lo compila con Cython per rubare wallet crypto, credenziali browser e dati sensibili da sviluppatori software. Il passaggio da script Python puri a moduli nativi .pyd su Windows e .so su macOS e Linux permette al malware di eludere molti rilevamenti basati su script e rende più complessa l’analisi forense. La nuova variante agisce come info-stealer completo e backdoor multi-piattaforma, con capacità di furto credenziali, keylogging, monitoraggio della clipboard, esfiltrazione di cookie e targeting specifico di wallet come MetaMask, Coinbase Wallet e Phantom. Il downloader BeaverTail evolve in parallelo e diventa un toolkit multi-modulo capace di consegnare il payload più adatto al sistema operativo della vittima. Le campagne colpiscono soprattutto sviluppatori che gestiscono chiavi di firma, pipeline CI/CD, repository sensibili e asset digitali di valore elevato. Trend Micro conferma che la compilazione aumenta l’evasività, ma lascia comunque artefatti utili per ricostruire la catena di infezione.
Cosa leggere
Void Dokkaebi punta sugli sviluppatori con asset digitali di alto valore
Void Dokkaebi continua a concentrare le proprie operazioni su obiettivi ad alto valore nel settore tecnologico. Gli sviluppatori rappresentano un bersaglio privilegiato perché spesso conservano wallet crypto, certificati di firma codice, token di accesso a repository privati e credenziali per pipeline di deployment. Il gruppo usa lures professionali costruiti attorno a finti colloqui di lavoro, offerte remote e test tecnici pubblicati su repository pubblici o condivisi tramite piattaforme frequentate da programmatori. Questi contenuti appaiono legittimi e convincono la vittima a scaricare tool di sviluppo o script di esempio che contengono BeaverTail. Una volta eseguito, il downloader recupera InvisibleFerret, lo lancia in memoria o su disco e avvia la raccolta di dati sensibili. La catena di infezione sfrutta la fiducia che gli sviluppatori ripongono nei repository di codice, nei test tecnici e nei workflow collaborativi. La nuova compilazione Cython rende il malware più difficile da classificare come minaccia rispetto alle precedenti versioni interpretate in Python.
InvisibleFerret migra da Python puro a moduli Cython nativi
Void Dokkaebi migra InvisibleFerret dalla forma Python pura a binari compilati con Cython, trasformando il payload in un file .pyd su Windows e in librerie .so su macOS e Linux. Questa scelta converte il codice interpretato in moduli nativi caricabili dal sistema, riducendo la visibilità dei contenuti originali e complicando l’analisi statica. Gli analisti di Trend Micro interpretano la trasformazione come risposta diretta alle difese endpoint che bloccano Python non firmato, script sospetti o esecuzioni anomale da directory temporanee. Il malware mantiene la logica interna delle versioni precedenti ma guadagna stealth, prestazioni e resistenza ai controlli automatici. La compilazione limita l’estrazione immediata del codice sorgente e rende meno efficaci molte regole basate su pattern testuali. Allo stesso tempo, Void Dokkaebi conserva un’architettura modulare che consente di aggiornare componenti specifiche senza riscrivere l’intero payload. Il risultato è un malware più maturo, progettato per restare operativo più a lungo negli ambienti degli sviluppatori compromessi.
Cython aumenta l’evasione ma lascia ancora tracce forensi
Il passaggio a Cython rappresenta una strategia di evasione tipica di un attore avanzato che conosce i limiti dei controlli endpoint moderni. Void Dokkaebi testa le nuove build contro antivirus e strumenti EDR prima del lancio operativo, riducendo la probabilità di rilevamento precoce e prolungando la finestra utile dell’intrusione. La compilazione non rende però InvisibleFerret invisibile. Gli artefatti forensi mostrano stringhe residue, pattern di compilazione Cython, riferimenti interni e comportamenti ricorrenti che gli investigatori possono ancora correlare. L’esecuzione come modulo nativo complica l’analisi dinamica perché il codice si comporta come libreria binaria, ma non elimina del tutto le tracce su disco, nei processi e nei percorsi temporanei. Trend Micro evidenzia che i difensori possono recuperare indicatori utili da registry Windows, cartelle temporanee macOS, processi attivi e comunicazioni di rete. La tecnica alza la soglia di competenza necessaria per l’analisi, ma non interrompe la possibilità di attribuire, tracciare e contenere la campagna.
InvisibleFerret combina info-stealer, keylogger e backdoor remota
InvisibleFerret funziona come backdoor completa e info-stealer multi-piattaforma. Il malware ruba credenziali salvate nei browser, monitora la clipboard, registra i tasti premuti e comunica con server di comando e controllo per ricevere istruzioni operative. Su Windows e macOS accede a cookie, password e sessioni memorizzate in browser come Chrome e Firefox. Su macOS, il gruppo applica anche una tecnica di downgrade di Chrome per aggirare le restrizioni di Manifest V3 e accedere ai dati delle estensioni, incluse quelle legate ai wallet crypto. La backdoor permette agli operatori di eseguire comandi remoti, scaricare payload aggiuntivi, caricare nuovi moduli, catturare screenshot, elencare processi attivi e raccogliere informazioni di sistema. Queste funzioni rendono InvisibleFerret uno strumento adatto sia al furto finanziario immediato sia allo spionaggio persistente. Il malware evita di scrivere file su disco quando possibile e preferisce l’esecuzione in memoria per ridurre le tracce osservabili.
InvisibleFerret adatta il furto dati agli ambienti di sviluppo
Void Dokkaebi ottimizza InvisibleFerret per gli ambienti di sviluppo software, dove il valore delle credenziali supera spesso quello delle password consumer tradizionali. Il keylogger registra comandi git, passphrase di chiavi SSH, password di repository privati e sequenze utilizzate per firmare commit o release. Il monitoraggio della clipboard intercetta indirizzi di wallet copiati durante trasferimenti crypto, test di smart contract o operazioni su account aziendali. Il malware raccoglie variabili d’ambiente, percorsi di progetto, configurazioni locali e dati utili a comprendere il ruolo della vittima nella catena software. I dati vengono poi esfiltrati verso l’infrastruttura C2 con comunicazioni cifrate. La persistenza consente al backdoor di restare attivo dopo il riavvio attraverso meccanismi nativi del sistema operativo. Questa combinazione di furto dati, osservazione silenziosa e controllo remoto permette al gruppo nordcoreano di trasformare una singola compromissione in accesso a repository, fondi digitali, ambienti cloud e potenziali supply chain downstream.
Il malware prende di mira MetaMask, Coinbase Wallet e Phantom
Il targeting dei wallet crypto rappresenta una delle funzioni centrali di InvisibleFerret. Il malware identifica e ruba dati legati a MetaMask, Coinbase Wallet, Phantom e ad altre estensioni utilizzate per gestire asset digitali. Una volta ottenute password, seed phrase o chiavi private, Void Dokkaebi può drenare fondi, firmare transazioni fraudolente o spostare asset verso indirizzi controllati dagli operatori. Il keylogger cattura frasi di recupero e credenziali inserite manualmente, mentre il monitoraggio della clipboard intercetta indirizzi e importi durante operazioni reali. Su macOS, il downgrade di Chrome aiuta a superare protezioni che limitano l’accesso ai dati delle estensioni wallet. Gli sviluppatori sono target ideali perché spesso gestiscono wallet personali, fondi di progetto, grant open source, pagamenti freelance o asset legati a smart contract. Il gruppo monetizza rapidamente i dati rubati attraverso mixer, wallet intermedi ed exchange con controlli meno rigorosi. La nuova variante compilata in Cython consente di mantenere il furto attivo più a lungo e aumentare il valore economico di ogni infezione.
BeaverTail evolve da loader semplice a toolkit multi-modulo
BeaverTail accompagna InvisibleFerret come downloader primario e si trasforma da semplice loader a piattaforma multi-modulo. Il toolkit, sviluppato in JavaScript, scarica il payload Cython, lo esegue e gestisce la persistenza iniziale. Prima della consegna, BeaverTail effettua fingerprinting del sistema per identificare ambiente operativo, architettura, presenza di sandbox e possibili strumenti di analisi. Il downloader comunica con i server C2 per ricevere istruzioni e stabilire quale variante di InvisibleFerret distribuire.
| Nome | Caratteristiche principali |
|---|---|
| Modulo per il furto e il download di informazioni: BeaverTail (gjs) | Ruba informazioni memorizzate nei browser web e dati dei portafogli di criptovalute.Scarica ed esegue BeaverTail (njs), BeaverTail (zjs) e InvisibleFerret |
| Modulo backdoor: BeaverTail (njs) | Possiede capacità backdoor con funzioni di esecuzione backdoor che iniziano con "ssh_", e scarica ed esegue BeaverTail (cjs) come payload di fase successiva in base ai comandiRaccoglie informazioni di sistema e di rete e accede hxxp://ip-api[.]com/jsonper raccogliere dati di geolocalizzazione in base all’indirizzo IPFunzioni di esecuzione backdoor a partire da "ssh_"e raccolta di informazioni sul sistema operativo e sulla rete identiche a quelle implementate in InvisibleFerret (a pagamento) |
| Modulo per il furto del browser: BeaverTail (zjs) | Ruba i dati dei portafogli di criptovalute, le frasi di recupero, le chiavi private e le password.Ruba altre informazioni relative alle impostazioni dello sviluppatore |
| Modulo di installazione di portafoglio di criptovalute infetto da trojan: BeaverTail (cjs) | Scarica e installa estensioni del browser infette da trojan in Chrome e Brave Browser, incluse estensioni relative ai portafogli, come MetaMask, Coinbase Wallet e Phantom.Esegue il downgrade della versione di Chrome su macOS; questa funzionalità è equivalente a InvisibleFerret (mc) |
Su Windows consegna il modulo .pyd, mentre su macOS e Linux utilizza librerie .so compatibili con la piattaforma. Il toolkit supporta anche comandi aggiuntivi, download di payload secondari e mascheramento dell’attività di rete. Dopo aver caricato il payload principale, mantiene un profilo basso oppure si disattiva per ridurre la superficie di rilevamento. Questa architettura consente a Void Dokkaebi di aggiornare singole componenti senza ricostruire tutta la catena di infezione, aumentando flessibilità, resilienza e capacità di adattamento.
Le campagne usano finti colloqui e repository pubblici come esca
Le campagne di Void Dokkaebi iniziano spesso con messaggi di reclutamento, finti colloqui di lavoro o challenge tecniche diffuse tramite GitHub, GitLab, forum di programmazione e canali professionali. Le vittime ricevono istruzioni per clonare un repository, eseguire uno script di test o verificare un tool apparentemente collegato a una selezione lavorativa. Questa tecnica sfrutta un’abitudine normale degli sviluppatori: valutare codice, testare librerie e verificare progetti in locale. Una volta eseguito il materiale infetto, BeaverTail avvia la fase di ricognizione e installa InvisibleFerret. Le campagne risultano particolarmente efficaci contro lavoratori remoti, freelance e sviluppatori coinvolti in progetti crypto o open source, dove l’interazione con repository sconosciuti è più frequente. Void Dokkaebi seleziona obiettivi con accesso a risorse finanziarie o dati strategici, combinando furto immediato e raccolta persistente. La tecnica conferma il valore crescente dell’ingegneria sociale mirata contro figure tecniche, non più considerate solo utenti finali ma veri snodi della sicurezza aziendale.
Trend Micro evidenzia indicatori utili per rilevare la nuova variante
L’analisi di Trend Micro conferma che la compilazione Cython complica il rilevamento ma non elimina gli indicatori utili alla difesa. Le organizzazioni possono cercare moduli .pyd o .so sospetti in directory temporanee, processi Python anomali, pattern di comunicazione verso domini C2 e tracce di esecuzione legate a BeaverTail. È importante monitorare accessi anomali a browser profile, estensioni wallet, clipboard, keychain e percorsi contenenti credenziali di sviluppo. Gli ambienti degli sviluppatori devono adottare difese a più livelli, con isolamento delle attività di test, esecuzione di codice sconosciuto in sandbox controllate, separazione tra wallet personali e dispositivi di lavoro, protezione hardware delle chiavi e revoca tempestiva delle credenziali sospette. Il rilevamento comportamentale diventa più importante delle signature statiche perché la variante Cython può cambiare forma mantenendo gli stessi obiettivi operativi. Gli artefatti residui permettono comunque di ricostruire la catena di infezione e individuare vittime compromesse prima che il furto crypto o l’accesso ai repository producano danni più ampi.
Void Dokkaebi mostra l’evoluzione offensiva nordcoreana contro il settore tech
L’aggiornamento di InvisibleFerret in Cython e l’evoluzione di BeaverTail confermano la capacità dei gruppi nordcoreani di adattarsi rapidamente alle difese moderne. Void Dokkaebi non si limita a rubare wallet crypto, ma costruisce una catena di intrusione capace di colpire sviluppatori, repository, credenziali, browser, pipeline software e asset digitali. La scelta di compilare il malware in moduli nativi mostra una maturazione tecnica orientata alla persistenza e all’evasione. Il targeting degli sviluppatori rivela inoltre una strategia più ampia: ottenere accesso a risorse finanziarie immediate e, allo stesso tempo, presidiare punti sensibili della supply chain software. Per aziende e team di sviluppo, la minaccia richiede un cambio di approccio. Non basta proteggere gli ambienti di produzione se i dispositivi degli sviluppatori restano esposti a lures professionali, repository infetti e tool apparentemente legittimi. InvisibleFerret dimostra che il confine tra furto crypto, spionaggio e compromissione della supply chain è ormai sempre più sottile.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
