北韓駭客利用虛假加密貨幣公司和求職面試傳播惡意軟體

網路犯罪手段出現了令人不寒而慄的新變化，與北韓有關的駭客冒充合法的加密貨幣諮詢公司，在虛假的求職面試中傳播惡意軟體。網路安全專家揭露的這一複雜的活動表明，威脅行為者為了滲透系統和竊取敏感資訊願意付出多大的努力。

虛假公司，真實威脅

根據 Silent Push 的深入分析，所謂「傳染性訪談」活動背後的威脅行為者已經建立了三個幌子公司：

• BlockNovas LLC (blocknovas[.]com)
• Angeloper 代理商(angeloper[.]com)
• SoftGlide LLC （softglide[.]co）

這些虛假企業會引誘毫無戒心的受害者（主要是 IT 和加密貨幣專業人士）參與虛假的招募流程。在編碼作業或技術面試的幌子下，申請人被誘騙下載偽裝成合法工作資料的惡意軟體。

此行動中部署的惡意軟體家族包括 BeaverTail、InvisibleFerret 和 OtterCookie，每個惡意軟體都經過精心設計，可入侵包括 Windows、Linux 和 macOS 在內的各種系統。

欺騙之網

網路安全公司也正在以「DeceptiveDevelopment」和「Famous Chollima」等名稱追蹤「傳染性訪談」行動，代表著北韓網路間諜手段的急劇升級。

駭客並不會止步於假網站。他們在 Facebook、LinkedIn、Pinterest、X（以前稱為 Twitter）、Medium、GitHub 和 GitLab 等社交媒體平台上創建了虛假資料，以增加其行動的合法性。 Silent Push 指出，BlockNovas 甚至在其網站上虛構了一支完整的員工團隊，謊稱擁有超過 12 年的經驗——儘管該公司是新註冊的。

這種欺騙最終導致惡意軟體的部署。在招募過程中，目標受害者會無意中下載 JavaScript 竊取和載入程式 BeaverTail，然後安裝能夠維持持久性和洩漏敏感資料的後門 InvisibleFerret。有些感染也會植入一種名為 OtterCookie 的輔助惡意軟體工具。

基礎設施和目標

BlockNovas 並非只停留在網站和假資料上。 Silent Push 調查人員在 BlockNovas 的一個子網域上發現了一個“狀態儀表板”，用於監控參與攻擊的多個網域。此外，也發現 mail.blocknovas[.]com 託管了開源密碼破解管理工具 Hashtopolis。

虛假招聘活動已經造成一些受害者。在 2024 年 9 月確認的案例中，一名開發人員的 MetaMask 加密貨幣錢包遭到入侵。

另一個令人震驚的發現涉及一個名為 Kryptoneer 的網站（託管在 attisscmo[.]com 上），該網站提供連接加密貨幣錢包的服務——此舉可能旨在針對區塊鏈用戶，特別是那些連接到 Sui 區塊鏈的用戶。

鎮壓行動及其國際影響

截至 2025 年 4 月 23 日，包括 FBI 在內的美國執法部門已查封了 BlockNovas 域名，理由是該域名以虛假工作機會為幌子傳播惡意軟體。

除了技術漏洞之外，研究人員還注意到威脅行為者使用 Remaker 等人工智慧工具來產生逼真的虛假頭像，從而增強其虛假公司的可信度。還有證據表明與俄羅斯基礎設施有聯繫：調查人員將該行動追溯到朝鮮-俄羅斯邊境附近被 VPN、代理和 VPS 伺服器掩蓋的俄羅斯 IP 範圍。

鑑於這些關係，專家認為北韓和俄羅斯網路犯罪分子之間可能存在一定程度的合作，或至少是基礎設施共享，儘管確認程度仍處於低到中等水平。

更大的圖像：Wagemole 和 GenAI 工具

「傳染性採訪」活動只是北韓更廣泛戰略的一個面向。另一種策略被稱為“Wagemole”，即北韓特工利用人工智慧產生的角色來確保在外國公司獲得合法就業。這些工作的薪水隨後被匯回政權。

網路安全公司 Okta 警告稱，北韓的協助者越來越多地使用生成式人工智慧 (GenAI) 工具來管理日程安排、轉錄對話和即時翻譯採訪，這使得他們的滲透工作更難以被發現和破壞。

提高警覺至關重要

這項活動凸顯了國家支持的網路攻擊日益複雜化以及社會工程的創新使用。技術工作者，尤其是加密貨幣和金融領域的技術工作者，在獲得工作機會時必須保持高度警惕，特別是當招聘流程顯得倉促、不尋常或涉及下載不熟悉的文件時。

組織必須加強申請人篩選流程和網路安全防禦。在這個時代，看似無辜的工作機會可能會為毀滅性的惡意軟體感染打開大門，謹慎不再是可選的，而是至關重要的。