朝鲜黑客利用虚假加密货币公司和求职面试传播恶意软件
网络犯罪手段出现了令人毛骨悚然的新变化:与朝鲜有关联的黑客冒充合法的加密货币咨询公司,在虚假的求职面试中传播恶意软件。网络安全专家揭露的这一复杂活动,揭示了威胁行为者为了入侵系统并窃取敏感信息,不择手段。
Table of Contents
虚假公司,真实威胁
根据 Silent Push 的深入分析,所谓“传染性采访”活动背后的威胁行为者已经建立了三个幌子公司:
- BlockNovas LLC (blocknovas[.]com)
- Angeloper 代理机构(angeloper[.]com)
- SoftGlide LLC (softglide[.]co)
这些虚假企业会引诱毫无戒心的受害者(主要是 IT 和加密货币专业人士)参与虚假的招聘流程。他们以编程作业或技术面试为幌子,诱骗求职者下载伪装成合法工作资料的恶意软件。
此次行动中部署的恶意软件家族包括 BeaverTail、InvisibleFerret 和 OtterCookie,每个恶意软件都经过精心设计,可以入侵包括 Windows、Linux 和 macOS 在内的各种系统。
欺骗之网
网络安全公司也在以“DeceptiveDevelopment”和“Famous Chollima”等名称跟踪“传染性采访”行动,这代表着朝鲜网络间谍手段的急剧升级。
黑客们并不止于伪造网站。他们在 Facebook、LinkedIn、Pinterest、X(原 Twitter)、Medium、GitHub 和 GitLab 等社交媒体平台上创建了虚假个人资料,以增加其运营的合法性。Silent Push 指出,BlockNovas 甚至在其网站上伪造了一支完整的员工团队,谎称其拥有超过 12 年的经验——尽管该公司是新注册的。
这种欺骗最终导致恶意软件的部署。在招聘过程中被锁定的受害者会无意中下载 BeaverTail(一个 JavaScript 窃取和加载程序),然后它会安装 InvisibleFerret(一个能够保持持久性并窃取敏感数据的后门)。一些感染还会植入一个名为 OtterCookie 的辅助恶意软件工具。
基础设施和目标
BlockNovas 的攻击手段远不止网站和虚假个人资料。Silent Push 的调查人员在 BlockNovas 的一个子域名上发现了一个“状态仪表板”,用于监控参与攻击的多个域名。此外,mail.blocknovas[.]com 还被发现托管着一款开源密码破解管理工具 Hashtopolis。
虚假招聘活动已造成大量受害者。在2024年9月确认的一起案例中,一名开发人员的MetaMask加密货币钱包被盗用。
另一个令人震惊的发现涉及一个名为 Kryptoneer 的网站(托管在 attisscmo[.]com 上),该网站提供连接加密货币钱包的服务——此举可能旨在针对区块链用户,特别是那些连接到 Sui 区块链的用户。
镇压行动及其国际影响
截至 2025 年 4 月 23 日,包括 FBI 在内的美国执法部门已查封了 BlockNovas 域名,理由是该域名以虚假工作机会为幌子传播恶意软件。
除了技术漏洞之外,研究人员还注意到威胁行为者使用 Remaker 等人工智能工具来生成逼真的虚假头像,从而提升其虚假公司的可信度。还有证据表明其与俄罗斯基础设施存在关联:调查人员追踪到该行动位于朝俄边境附近,并利用 VPN、代理和 VPS 服务器屏蔽了俄罗斯 IP 地址范围。
鉴于这些关系,专家认为朝鲜和俄罗斯网络犯罪分子之间可能存在一定程度的合作,或者至少是基础设施共享,尽管确认程度仍处于低到中等水平。
更大的图景:Wagemole 和 GenAI 工具
“传染性面试”活动只是朝鲜更广泛战略的一个方面。另一项名为“Wagemole”的策略是,朝鲜特工利用人工智能生成的角色,在外国公司获得合法就业机会。这些工作的收入随后被汇回朝鲜政权。
网络安全公司 Okta 警告称,朝鲜的协助者越来越多地使用生成式人工智能 (GenAI) 工具来管理日程安排、转录对话和实时翻译采访,这使得他们的渗透工作更难以被发现和破坏。
提高警惕至关重要
此次活动凸显了国家支持的网络攻击日益复杂化,以及社会工程学的创新运用。科技工作者,尤其是加密货币和金融领域的科技工作者,在获得工作机会时必须保持高度警惕,尤其是在招聘流程显得仓促、不寻常,或者需要下载不熟悉的文件时。
各组织必须加强申请人筛选流程和网络安全防御。在这个看似无害的工作机会可能为毁灭性的恶意软件感染打开大门的时代,谨慎已不再是可有可无的,而是至关重要的。
