朝鲜APT组织假冒招聘代码挑战攻击开发者

朝鲜威胁行为者利用招聘流程部署恶意软件

安全研究人员近期揭露了一场复杂的攻击活动：朝鲜高级持续威胁（APT）组织假冒企业招聘人员，通过植入恶意软件的代码挑战瞄准软件开发者。该攻击由ReversingLabs首次披露，凸显了网络间谍活动和供应链攻击手法的演变。

攻击核心细节

• 威胁行为者：朝鲜国家支持的黑客组织，可能包括Lazarus Group或其附属团体。
• 攻击目标：软件开发者，尤其是加密货币和区块链行业从业者。
• 攻击手法：通过假冒招聘信息发送恶意代码挑战，伪装成技术评估。
• 有效载荷：执行提供的代码后会安装恶意软件，实现远程访问、数据窃取或进一步横向移动。

技术分析

攻击始于威胁行为者假冒合法招聘人员（通常通过LinkedIn或电子邮件）提供高薪工作机会。受害者被引导至GitHub或GitLab等平台完成代码挑战，但提供的代码中隐藏了混淆处理的恶意软件——通常为后门或远程访问木马（RAT）。

ReversingLabs的分析表明，该恶意软件可能利用以下技术：

• “Living-off-the-land”二进制文件（LOLBins）：规避检测。
• 编码有效载荷：隐藏于看似无害的脚本（如Python、PowerShell）中。
• 持久化机制：如计划任务或注册表修改。

目前尚未披露具体的CVE编号，但此类攻击与朝鲜历史上针对开发者的供应链攻击手法一致（如2020年类SolarWinds攻击）。

影响与动机

该攻击活动的主要目标可能包括：

• 网络间谍活动：窃取知识产权或敏感项目数据。
• 供应链攻击：感染开发者以通过合法软件更新分发恶意软件。
• 金融窃取：瞄准加密货币开发者以实施盗窃或洗钱。

高价值行业（如金融科技、区块链）的开发者风险尤高，因其系统通常能访问专有代码库或生产环境。

缓解措施与建议

安全团队及开发者应采取以下措施：

1. 验证招聘人员身份：通过官方渠道交叉核实招聘人员信息。
2. 隔离代码挑战：在沙箱环境（如Docker容器、虚拟机）中运行不受信任的代码。
3. 监测异常行为：部署端点检测与响应（EDR）工具，识别可疑进程执行。
4. 团队培训：对开发者进行社交工程风险教育，特别是招聘场景。
5. 最小权限原则：限制本地管理员权限，降低恶意软件影响。

更多详情，请参阅ReversingLabs报告及BleepingComputer的报道。