北韩黑客组织 Lazarus 再出奇招!
最新报告揭露,「传染性面试 (Contagious Interview)」利用假加密公司进行社交工程攻击,针对求职者散播恶意软件,窃取隐私信息。结合精细手法与 AI 技术,北韩黑客一举一动都备受全球资安团队的高度关注。
假公司陷阱曝光:三间空壳公司撒网诱捕受害者
网络安全公司 Silent Push 于昨日发布最新报告,揭露三家伪装成合法加密货币企业的虚假公司:「BlockNovas LLC」、「Angeloper Agency」与「SoftGlide LLC」,实为北韩黑客组织「传染性面试」的攻击幌子:这些公司假借招聘之名,将三款精心设计的恶意软件,通过面试散布至求职者的电脑设备中。
令人担忧的是,频繁执行「传染性面试」攻击的组织,被认定是恶名昭彰的 Lazarus Group 旗下分支,与另一黑客组织 TraderTraitor 在攻击 ByBit 交易所中出现「资源共享」的迹象,显示北韩黑客间可能存在合作网络。
恶意程式三部曲:精准瞄准求职者设备
该公司指出,在这次行动中,三款恶意软件扮演关键角色:
- BeaverTail:支持 Linux、macOS 与 Windows,具备持久感染能力,能长期潜伏于受害者设备中。
- InvisibleFerret:以 Python 编写,常被误认为 BeaverTail,实为独立威胁。
- OtterCookie:专门窃取加密货币凭证与资料,通常夹带在求职者面试过程中被要求下载的文件中。
这些程序常以「面试文件」为诱饵,诱导受害者点击下载。近期,链上资安专家也发现了一种新型诈骗手法,北韩黑客假扮创投 (Venture Capital, VC) 专家,通过 Zoom 会议上常见的音讯问题,诱骗受害者下载夹带了恶意程序的音讯修复档案,或将导致个人资金或敏感资料被盗取。
AI 假员工助攻:Remaker AI 生成骗局更逼真
Silent Push 同时表示,该组织善用 Remaker AI 等 AI 工具,生成虚构的员工头像与履历,大幅提升假公司的可信度。以 BlockNovas 为例,声称拥有 14 名员工,但 Silent Push 确认其中大部分为虚构角色,其 LinkedIn 页面与个人网站均为伪造内容。
BlockNovas 职位列表
网络社交工程钓鱼术:从 LinkedIn 到 GitHub 全面渗透
黑客组织通过 LinkedIn、GitHub 及自由工作者平台张贴高薪职缺,吸引求职者上钩。受害者在进入假面试流程后,会被引导下载恶意软件,导致系统遭入侵,私密数据全遭窃:
不幸的是,我们确认多起受害案例,多数集中于加密产业求职者,恐加深开发者对该领域的敌意与不安。类似的社交工程攻击 (Social Engineering Attack) 在近期陆续发生,Google 在几周前也曾对此警告:「企业必须提升警觉,加强应征者背景查核、验证流程与资安防护,特别是对远端人员与外包平台的管控。」
资安防御建议:如何自保于招聘陷阱中
Silent Push 对此呼吁企业与个人采取下列防范措施:
- 识别真伪职缺来源,避免来自非官方平台的邀约。
- 点击不明链接与下载不明档案前,先行验证。
- 采用进阶威胁情报工具,侦测可疑活动与攻击指标。
调查的技术细节并未公开,以避免黑客侦察,但相关报告及因应方案将向企业客户提供。
AI 与网攻融合,资安防线待强化
北韩「传染性面试」组织的攻击行动再度证明,黑客手法不断升级。随着 AI 与假身份技术的进化,企业与求职者面临前所未有的挑战。强化资安意识与提升防御机制,已是不可忽视的当务之急。
风险提示
加密货币投资具有高度风险,其价格可能波动剧烈,您可能损失全部本金。请谨慎评估风险。