Pelaku ancaman Korea Utara telah menggunakan aplikasi konferensi video Windows palsu, yang meniru FreeConference.com, untuk membobol sistem pengembang backdoor dalam kampanye mereka, Contagious Interview. Gelombang serangan yang ditemukan oleh perusahaan Singapura Group-IB pada pertengahan Agustus 2024 merupakan indikasi lain bahwa aktivitas tersebut juga menggunakan penginstal asli untuk Windows dan Apple macOS untuk mengirimkan malware. Contagious Interview, juga dikenal sebagai DEV#POPPER, adalah kampanye berbahaya yang didalangi oleh aktor ancaman Korea Utara, Famous Chollima.

Rantai serangan dimulai dengan wawancara kerja fiktif, menipu para pencari kerja untuk mengunduh dan menjalankan proyek Node.js yang berisi malware pengunduh BeaverTail. Malware ini kemudian memberikan pintu belakang Python lintas platform yang dikenal sebagai InvisibleFerret, yang dilengkapi dengan kendali jarak jauh, keylogging, dan kemampuan mencuri peramban. Beberapa iterasi BeaverTail, yang juga berfungsi sebagai pencuri informasi, telah bermanifestasi dalam bentuk malware JavaScript, biasanya didistribusikan melalui paket npm palsu sebagai bagian dari penilaian teknis yang diklaim sebagai bagian dari proses wawancara. Namun, pada Juli 2024, penginstal Windows MSI dan file disk image (DMG) Apple macOS yang menyamar sebagai perangkat lunak konferensi video MiroTalk yang sah ditemukan di alam liar, bertindak sebagai saluran untuk menyebarkan versi terbaru BeaverTail.

Pelaku ancaman telah diamati menyuntikkan JavaScript berbahaya ke dalam repositori yang berhubungan dengan cryptocurrency dan game, dengan kode JavaScript yang dirancang untuk mengambil kode Javascript BeaverTail dari domain ipcheck[.]cloud atau regioncheck[.]net. Fitur pencurian informasi BeaverTail sekarang direalisasikan melalui sekumpulan skrip Python, yang secara kolektif disebut CivetQ, yang mampu memanen cookie, data peramban web, penekanan tombol, dan konten papan klip, dan mengirimkan lebih banyak skrip.