与朝鲜有联系的拉扎罗斯集团(Lazarus Group)与一场活跃的活动有关,该活动利用 LinkedIn 上加密货币和旅游领域的虚假招聘信息来传播恶意软件,这些恶意软件能够感染 Windows、macOS 和 Linux 操作系统。
网络安全公司比特梵德(Bitdefender)称,这种骗局从在专业社交媒体网络上发送信息开始,以远程工作、兼职灵活性和高薪为诱饵。
"该罗马尼亚公司在与《黑客新闻》分享的一份报告中说:"一旦目标表示有兴趣,'招聘流程'就会展开,骗子会要求提供简历甚至个人 GitHub 存储库链接。
"虽然这些要求看似无辜,但却可能达到邪恶的目的,例如获取个人数据或为互动披上合法的外衣。
一旦获取了请求的详细信息,攻击就会进入下一阶段,威胁行为者会打着招聘人员的幌子,分享一个指向 GitHub 或 Bitbucket 存储库的链接,其中包含一个所谓的去中心化交易所(DEX)项目的最小可行产品(MVP)版本,并指示受害者查看该版本并提供反馈。
代码中包含一个混淆脚本,该脚本被配置为从 api.npoint[.]io 获取下一阶段有效载荷,这是一个跨平台 JavaScript 信息窃取程序,能够从受害者浏览器上安装的各种加密货币钱包扩展中获取数据。
该窃取程序还可作为加载程序,检索一个基于 Python 的后门程序,该后门程序负责监控剪贴板内容变化、保持持续远程访问并投放其他恶意软件。
在现阶段,值得注意的是,Bitdefender 记录的策略与被称为 Contagious Interview(又名 DeceptiveDevelopment 和 DEV#POPPER)的已知攻击活动集群有重叠之处,后者旨在投放名为 BeaverTail 的 JavaScript 窃取程序和名为 InvisibleFerret 的 Python 植入程序。
"Bitdefender 实验室告诉《黑客新闻》:"分析的恶意软件似乎属于 Contagious Interview 集群。"然而,受感染的 JavaScript 样本与过去看到的其他 BeaverTail 样本不同。我们还观察到感染链中的其他细节,这让我们相信威胁行为者正在不断调整和改进其战术。"
通过Python恶意软件部署的恶意软件是一个.NET二进制文件,可以下载并启动一个TOR代理服务器,与一个命令与控制(C2)服务器通信,渗出基本系统信息,并提供另一个有效载荷,该有效载荷反过来可以虹吸敏感数据、记录键盘输入并启动一个加密货币矿机。
"Bitdefender表示:"威胁者的感染链非常复杂,包含以多种编程语言编写并使用多种技术的恶意软件,如递归解码并执行自身的多层Python脚本、在转向进一步有效载荷之前首先获取浏览器数据的JavaScript窃取器,以及能够禁用安全工具、配置Tor代理和启动加密货币挖掘机的基于.NET的分级器。
有证据表明,根据 LinkedIn 和 Reddit 上分享的报告,这些行为相当普遍,只是对整个攻击链稍作调整。在某些情况下,候选人会被要求克隆一个 Web3 仓库并在本地运行,作为面试过程的一部分,而在另一些情况下,他们会被指示修复代码中故意引入的错误。
其中一个 Bitbucket 仓库涉及一个名为 "miketoken_v2 "的项目。该项目在代码托管平台上已无法访问。Bitdefender 表示,这些活动是同一活动的一部分,但存储库名称和招聘人员配置文件有所改变。
这一消息是在 SentinelOne 揭露 Contagious Interview 活动被用于传播另一款代号为 FlexibleFerret 的恶意软件一天后披露的。
信息来源:https://thehackernews.com/2025/02/cross-platform-javascript-stealer.html
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局