Північнокорейська група CL-STA-0240 (Famous Chollima, UNC5342) об’єднала BeaverTail (стілер) та OtterCookie (бекдор) в Contagious Interview, з новим модулем кейлогінгу. Використовують EtherHiding на BNB Chain/Ethereum для C2. Кампанія з 2022 обманює шукачів роботи фальшивим наймом, троянізуючи Node.js-додатки (Chessfi). Залежність “node-nvm-ssh” на npm (306 завантажень) запускає index.js для file15.js. OtterCandy v5 – модульний стілер з GolangGhost, PylangGhost. Виявлено в Шрі-Ланці через Bitbucket. NTT Security виявила OtterCandy з липня для Windows/macOS/Linux з крадіжкою з Suiet, Trust Wallet. DiggingBeaver запускає через Run-діалог. Qt-версія BeaverTail та VSCode-розширення тестують доставку.

Ризики: крадіжка крипти, розвідка. Рекомендації: перевіряйте npm, моніторте буфер обміну, блокуйте C2. Група еволюціонує, вимагає обізнаності.