朝鲜黑客利用虚假求职面试向开发人员植入跨平台恶意软件

朝鲜威胁者找到了一种狡猾的方法来攻击软件开发人员：虚假的求职面试。这种阴险的方法旨在诱使科技行业毫无戒心的求职者下载恶意软件，从而危害他们的安全和系统。安全研究人员已经观察到了这一活动，该活动被追踪为 CL-STA-0240，被称为“传染性面试”，黑客在求职平台上冒充潜在雇主。

此次行动是通过 Palo Alto Networks 的 Unit 42 报告曝光的。该报告于 2023 年 11 月首次披露，揭示了网络犯罪分子正在使用两个恶意软件家族的更新版本：BeaverTail 和 InvisibleFerret。

攻击如何展开

第一个接触点发生在求职平台上，朝鲜黑客冒充招聘人员，联系软件开发人员。他们安排在线面试，通过模仿合法的招聘流程赢得受害者的信任。在这些所谓的面试中，黑客说服开发人员下载他们声称是编码作业或其他与工作相关的材料。受害者不知道的是，这些下载包含恶意软件。

感染过程从 BeaverTail 下载程序开始，这是一种针对 Windows 和 macOS 系统的信息窃取恶意软件。BeaverTail 充当了更危险的第二阶段恶意软件的桥梁：基于 Python 编程语言的 InvisibleFerret 后门。尽管公众已经意识到这一行动，但最近的报告表明，这场活动背后的黑客通过诱骗开发人员在不知情的情况下执行恶意代码继续取得成功。

跨平台恶意软件是开发人员的噩梦

Patrick Wardle 和 Group-IB 等网络安全专家的深入分析表明，这一威胁影响深远。这些攻击者使用虚假的视频会议应用程序（例如模仿 MiroTalk 和 FreeConference.com）来入侵系统。这些虚假应用程序是使用 Qt 开发的，Qt 是一种流行的框架，允许跨不同平台（包括 Windows 和 macOS）进行交叉编译。

基于 Qt 的 BeaverTail 版本不仅限于一项功能。它能够窃取浏览器密码以及加密货币钱包中的数据，因此特别危险。它会将数据泄露到黑客控制的服务器，让网络犯罪分子能够访问敏感的个人和财务信息。

BeaverTail 完成任务后，会安装 InvisibleFerret，后者能够执行更具破坏性的活动。该恶意软件包含两个关键组件：

1. 主要有效载荷用于远程控制、键盘记录、对受感染的系统进行指纹识别，甚至下载远程桌面工具。
2. 浏览器窃取程序，可提取浏览器凭证，包括用户名、密码甚至存储的信用卡信息。

袭击背后的经济动机

朝鲜威胁行为者长期以来一直与以经济为目的的网络犯罪有关，他们经常利用这些非法收益来支持政权。Unit 42 表示，这一特定活动可能也有很强的经济动机，尤其是考虑到该恶意软件能够从 13 个不同的加密货币钱包中窃取资金。

通过使用能够获取加密货币、浏览器凭证甚至远程访问等有价值资产的工具，黑客可能会窃取大量资金。类似这次以经济为目的的网络攻击是朝鲜逃避国际制裁和资助政府运作战略的基石。

保护自己作为开发者

通过虚假求职面试进行网络攻击的现象日益增多，表明黑客针对开发者和更广泛的技术社区的方式发生了令人不安的变化。以下是一些确保安全的步骤：

• 核实招聘人员：务必核实与您联系的招聘人员或雇主的身份。简单的 LinkedIn 搜索或访问公司的官方网站可以帮助您确认该职位是否真实。
• 谨慎下载：切勿从不受信任的来源下载文件，尤其是来自您尚未验证的平台或个人的文件。
• 使用强大的安全措施：保持您的防病毒和恶意软件检测软件为最新版本。与未知实体在线互动时，请考虑使用加密通信和沙盒工具。
• 监控加密钱包：如果您参与加密货币交易，请特别警惕。使用具有强大安全功能的钱包，并密切监控交易，以防出现任何可疑活动。

结论

朝鲜黑客利用虚假求职面试传播恶意软件，这令人不寒而栗，提醒我们网络犯罪分子是多么富有创造力和危险。由于攻击针对 Windows 和 macOS 平台，没有人能够真正免受这些威胁。开发人员尤其应该保持高度警惕，因为黑客继续利用求职过程窃取敏感数据和金融资产。在这个网络犯罪的新时代，保持知情、警惕和做好准备是保护自己的关键。