HackerNews 编译,转载请注明出处:
与朝鲜关联的威胁行为组织“Contagious Interview”(传染性面试)在虚假招聘流程中设立了多家空壳公司,用于分发恶意软件。
网络安全公司Silent Push在深度分析中指出:“在此次新活动中,该威胁组织利用加密货币咨询行业的三家空壳公司——BlockNovas LLC(blocknovas[.]com)、Angeloper Agency(angeloper[.]com)和SoftGlide LLC(softglide[.]co)——通过‘面试诱饵’传播恶意软件。”
该活动被用于分发三种已知恶意软件家族:BeaverTail、InvisibleFerret和OtterCookie。
“Contagious Interview”是朝鲜策划的多起以招聘为主题的社会工程攻击之一。攻击者以编程任务或“解决视频面试时摄像头故障”为借口,诱导目标下载跨平台恶意软件。网络安全界追踪此活动的别名包括CL-STA-0240、DeceptiveDevelopment、DEV#POPPER、Famous Chollima、UNC5342和Void Dokkaebi。
此次攻击的升级体现在:
- 空壳公司网络:BlockNovas声称有14名员工,但Silent Push发现其多数员工档案为伪造。通过Wayback Machine查看blocknovas[.]com的“关于我们”页面时,该公司自称“运营12年以上”,但实际注册时间仅1年。社交媒体伪装:攻击者在Facebook、LinkedIn、Pinterest、X、Medium、GitHub和GitLab创建虚假账户扩大传播。多阶段攻击链:
- BeaverTail:JavaScript窃取器/加载器,通过域名lianxinxiao[.]com建立C2通信,投递下一阶段载荷。InvisibleFerret:Python后门,支持Windows/Linux/macOS持久化,可窃取浏览器数据、文件并安装AnyDesk远程控制软件。OtterCookie:部分攻击链通过同一JS载荷分发。
基础设施细节:
- BlockNovas子域名托管“状态仪表盘”,监控lianxinxiao[.]com、angeloperonline[.]online等域名。子域名mail.blocknovas[.]com运行开源密码破解系统Hashtopolis。域名attisscmo[.]com托管加密货币钱包工具Kryptoneer,支持Suiet Wallet、Ethos Wallet等连接。
时间线与影响:
- 2024年9月:至少一名开发者的MetaMask钱包遭入侵。2024年12月:BlockNovas在LinkedIn发布针对乌克兰IT专家的高级软件工程师职位。2025年4月23日:FBI查封BlockNovas域名,指控其用于“虚假招聘及恶意软件分发”。
技术规避手段:
- 使用Astrill VPN和住宅代理隐藏基础设施。利用AI工具Remaker生成虚假人物头像。通过俄罗斯IP段(位于哈桑和伯力)连接VPS服务器,操作招聘网站和加密货币服务。Trend Micro指出,这些地区与朝鲜存在地理和经济关联,推测朝俄可能存在基础设施共享。
双重动机:
- 数据窃取:通过远程IT员工渗透企业(即Wagemole攻击)。资金转移:将薪资汇入朝鲜账户。Okta观察到攻击者使用生成式AI(GenAI)优化虚假身份创建、面试安排及实时语音/文本翻译。
行业警示:
企业需警惕加密货币行业招聘中要求“测试区块链项目”或“修复技术问题”的可疑任务,此类要求可能成为恶意软件投递的切入点。
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
