北韓駭客利用虛假工作面試透過跨平台惡意軟體感染開發人員

北韓威脅行為者找到了一種針對軟體開發人員的狡猾方法：虛假工作面試。這種陰險的方法旨在引誘毫無戒心的科技業求職者下載惡意軟體，從而損害他們的安全和系統。安全研究人員觀察到了這項活動，追蹤號碼為 CL-STA-0240，被稱為“傳染性面試”，駭客在求職平台上冒充潛在雇主。

Palo Alto Networks 的 Unit 42 的一份報告揭露了這一操作。

攻擊如何展開

第一個接觸點發生在求職平台上，北韓駭客冒充招募人員，聯絡軟體開發人員。他們安排在線上求職面試，透過模仿合法的招募流程來贏得受害者的信任。在這些所謂的訪談中，駭客說服開發人員下載他們聲稱的編碼作業或其他與工作相關的資料。受害者不知道的是，這些下載內容包含惡意軟體。

感染過程從 BeaverTail 下載程式開始，這是一種針對 Windows 和 macOS 系統的資訊竊取惡意軟體。 BeaverTail 充當更危險的第二階段惡意軟體的橋樑：基於 Python 程式語言的 InvisibleFerret 後門。儘管公眾意識到了這一行動，但最近的報告表明，這項活動背後的駭客繼續透過欺騙開發人員在不知不覺中執行惡意程式碼來取得成功。

跨平台惡意軟體是開發人員的惡夢

Patrick Wardle 和 Group-IB 等網路安全專家進行的更深入分析顯示了這種威脅的影響有多深遠。這些攻擊者使用虛假視訊會議應用程式（例如模仿 MiroTalk 和 FreeConference.com）來滲透系統。這些虛假應用程式是使用 Qt 開發的，Qt 是一種流行的框架，允許跨不同平台（包括 Windows 和 macOS）進行交叉編譯。

基於 Qt 的 BeaverTail 版本不僅限於一項功能。它能夠竊取瀏覽器密碼以及加密貨幣錢包中的數據，這使其特別危險。它將資料洩露到駭客控制的伺服器，使網路犯罪分子能夠存取敏感的個人和財務資訊。

BeaverTail 完成其任務後，它將安裝 InvisibleFerret，它能夠進行更具破壞性的活動。該惡意軟體包括兩個關鍵元件：

1. 主要有效負載設計用於遠端控制、鍵盤記錄、受感染系統指紋識別，甚至下載遠端桌面工具。
2. 瀏覽器竊取程序，它提取瀏覽器憑證，包括使用者名稱、密碼，甚至儲存的信用卡資訊。

攻擊背後的財務動機

北韓威脅行為者長期以來一直與出於經濟動機的網路犯罪聯繫在一起，經常利用這些非法收益來支持政權。 Unit 42 表明，這項特定活動也可能具有強烈的經濟動機，特別是考慮到該惡意軟體能夠從 13 個不同的加密貨幣錢包中竊取資金。

透過使用可以獲得加密貨幣、瀏覽器憑證甚至遠端存取等有價值資產的工具，駭客可能會竊取大量資金。像這次這樣的出於經濟動機的網路攻擊是北韓逃避國際制裁和為其政府運作提供資金的戰略的基石。

身為開發人員保護自己

透過虛假求職面試進行的網路攻擊的興起標誌著駭客針對開發人員和更廣泛的技術社群的方式發生了令人不安的轉變。以下是確保安全的一些步驟：

• 驗證招募人員：務必反覆檢查與您聯繫的招募人員或雇主的身份。簡單的 LinkedIn 搜尋或造訪該公司的官方網站就可以幫助您確認該優惠是否真實。
• 下載時要小心：切勿從不受信任的來源下載文件，尤其是來自您未經驗證的平台或個人的文件。
• 使用強大的安全措施：讓您的防毒和惡意軟體偵測軟體保持最新狀態。與未知實體在線上互動時，請考慮使用加密通訊和沙箱工具。
• 監控加密錢包：如果您涉及加密貨幣，請特別警惕。使用具有強大安全功能的錢包並密切監控交易是否有任何可疑活動。

結論

北韓駭客利用假工作面試來傳播惡意軟體，令人不寒而慄，提醒人們網路犯罪分子的創造力和危險性。由於針對 Windows 和 macOS 平台的攻擊，沒有人能夠真正免受這些威脅。開發人員尤其應該保持高度警惕，因為駭客繼續利用求職過程來竊取敏感資料和金融資產。在這個網路犯罪的新時代，保持知情、保持警惕並做好準備是保護自己的關鍵。