HackerNews 编译,转载请注明出处:
朝鲜黑客正将矛头对准加密货币与区块链行业的求职者,通过感染应聘者设备实施数据窃取。思科Talos研究人员发现,一个名为“千里马”(Famous Chollima)的朝鲜黑客组织自2024年中起,针对印度等地的少量目标人群发起定向攻击。
该组织伪造知名企业身份,诱使真实的软件工程师、营销人员及设计师等应聘者访问技能测试页面。思科Talos在6月18日的报告中指出:“从发布的职位信息可明确看出,千里马组织广泛锁定具有加密货币和区块链技术经验的人群。其技能测试网站伪装成Coinbase、Archblock、Robinhood等真实企业,以此精准定位目标人群。”
受害者会收到测试网站的邀请码,需填写个人信息并完成技能测试。随后,应聘者被要求录制视频面试。当用户授权网站使用摄像头时,页面会显示“安装视频驱动程序”的指令,诱导其复制粘贴恶意代码到终端。思科Talos将这种策略称为“点击修复”(ClickFix)——通过虚构系统错误提示,利用人类解决问题的本能心理,诱骗目标执行最终导致恶意软件下载的命令。
黑客为MacOS和Windows系统开发了专属恶意软件“PylangGhost”,可窃取多种浏览器扩展程序存储的凭证、会话cookie等关键数据。该恶意软件具有模块化结构,通过RC4加密通信连接命令控制服务器,支持远程系统操控及文件窃取。
“千里马”等组织深度参与朝鲜向欧美科技公司渗透公民的计划:既通过合法薪资赚取外汇,又借助对区块链企业的渗透实施加密货币盗窃。美国执法部门估算,此类行动为朝鲜军方创收数十亿美元。本次攻击活动还暴露出朝鲜更深层的意图:窃取加密货币领域成功求职者的属性信息,为其公民伪造身份应聘提供参考;同时预先感染可能入职合法企业的开发者设备,为后续攻击埋下伏笔。
去年12月,加密货币平台Radiant Capital遭遇的5000万美元劫案正是类似手法的重演:黑客冒充公司前承包商,向工程师发送暗藏恶意软件INLETDRIFT的PDF文件,该后门专门针对macOS设备。自2023年以来,安全专家持续警告使用MacBook的加密货币从业者是朝鲜黑客的首要目标。
消息来源: therecord;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
