HackerNews 编译，转载请注明出处： 2025年第二季度，针对开发者、软件团队及CI/CD流水线的攻击规模和复杂度持续攀升。网络安全公司Sonatype监测数据显示，恶意开源软件包数量同比增长188%，凸显开源生态安全威胁加剧。 该公司通过监控npm、PyPI、Maven Central等主流仓库活动发现，本季度共检出16,279个恶意开源软件包。自2017年启动分析以来，累计识别恶意包总量已达845,204个。“攻击者不再仅是试探开源生态。数据表明，威胁行为者已将数据视为最具价值的目标，而开发者成为最易突破的入口，”Sonatype联合创始人兼首席技术官Brian Fox指出，“开发和安全团队必须保持警惕，威胁正日益潜伏于日常工具和依赖项中。” 恶意包攻击目标呈现集中化趋势： 数据窃取主导：55%的恶意包旨在窃取机密信息，包括个人身份数据、密码、访问令牌及API密钥； 数据破坏恶意软件激增：本季度检出400例此类攻击，数量较上季度翻倍，主要通过损毁文件、注入恶意代码等方式破坏应用运行； 加密挖矿占比下降：相关恶意包占比5%，较前季度略有减少。 国家级黑客组织深度渗透： 朝鲜知名黑客组织Lazarus被证实关联107个恶意包，累计下载量超30,000次。这反映威胁组织正将开源生态系统作为实施网络间谍和金融犯罪的新渠道。 值得注意的是，尽管Sonatype报告2024年恶意软件同比增长156%，但相比同期主流平台超6万亿次软件包下载量，实际检出比例仍属微量。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自2025年3月起，针对俄罗斯组织的定向钓鱼攻击使用虚假合同主题电子邮件传播Batavia间谍软件，这是一种旨在窃取内部文件的新型恶意软件。该攻击自2024年7月以来持续进行，始于伪装成合同或附件的恶意.vbe文件链接。该恶意软件包含一个VBA脚本和两个可执行文件，卡巴斯基已将其检测为Trojan.Batavia变种。 卡巴斯基发布的报告指出：“自2025年3月初以来，我们的系统记录到俄罗斯各机构员工检测到的类似文件（例如договор-2025-5.vbe、приложение.vbe和dogovor.vbe，中文译注：合同、附件）数量有所增加。定向攻击始于以签订合同为借口发送包含恶意链接的诱饵邮件。” 点击钓鱼邮件中的链接会下载VBE脚本，该脚本收集系统信息并从攻击者的域名检索恶意软件文件(WebView.exe)。该脚本检查操作系统版本以决定如何执行有效载荷，并将数据发送到命令与控制(C2)服务器。攻击使用针对每封电子邮件定制的参数来管理感染阶段并规避检测。 在攻击链的第二阶段，WebView.exe恶意软件（用Delphi编写）下载并显示虚假合同，然后开始监视受感染的系统。它收集系统日志、办公文档，并定期截取屏幕截图发送到新的C2服务器。为避免重复上传，它会对每个文件进行哈希处理。同时下载新的恶意软件阶段(javav.exe)并设置启动快捷方式，以便在系统重启时继续感染过程。 在攻击链的最后阶段，恶意软件javav.exe（用C++编写）扩展攻击范围，针对更多文件类型（如图像、电子邮件、演示文稿、存档），使用更新的感染ID(2hc1-…)将其传输到C2服务器。它现在可以更改C2地址，并通过computerdefaults.exe实现UAC绕过来下载/执行新有效载荷(windowsmsg.exe)。与C2的通信采用加密传输，并通过文件哈希避免重复上传。据卡巴斯基称，此阶段引入灵活性和持久性以促进进一步恶意活动。 研究人员注意到Batavia间谍软件活动的受害者是俄罗斯工业企业。卡巴斯基遥测数据显示，数十家机构的超过100名用户收到了钓鱼邮件。 报告总结道：“值得注意的是，此次攻击的初始感染媒介是诱饵邮件。这凸显了常态化员工培训和提高企业网络安全实践意识的重要性。”        消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一场利用搜索引擎优化（SEO）投毒技术传播恶意软件加载器Oyster（亦称Broomstick或CleanUpLoader）的攻击活动。据Arctic Wolf分析，该恶意广告活动通过伪造托管合法工具（如PuTTY和WinSCP）木马化版本的网站，诱骗搜索这些程序的技术人员下载安装。报告指出：“程序执行后会植入Oyster/Broomstick后门。攻击者创建每三分钟运行一次的计划任务实现持久化，通过rundll32.exe调用恶意DLL文件（twain_96.dll）的DllRegisterServer导出函数，表明其采用DLL注册机制维持控制。” 已发现的欺诈网站包括： updaterputty[.]com zephyrhype[.]com putty[.]run putty[.]bet puttyy[.]org 攻击者可能还针对其他IT工具传播恶意软件，用户必须严格依赖可信渠道和官方供应商站点下载软件。 当前黑帽SEO投毒技术正被用来操纵人工智能（AI）相关关键词的搜索结果，散布Vidar、Lumma和Legion加载器。这些网站嵌入了检测广告拦截器的JavaScript代码，在收集受害者浏览器信息后启动重定向链，最终导向包含ZIP压缩包的钓鱼页面。“最终下载页面提供受密码保护的ZIP压缩包（内含Vidar/Lumma窃密程序），密码直接显示在下载页面上，”Zscaler ThreatLabz分析称，“解压后出现800MB的NSIS安装包，攻击者刻意设置超大体积以绕过文件大小检测机制。”该安装包通过AutoIt脚本激活窃密载荷。而Legion加载器则采用MSI安装包配合批处理脚本进行部署。 同类SEO投毒活动还通过伪造热门网络应用的搜索结果，将用户导向虚假Cloudflare验证页面，运用臭名昭著的“点击修复”（ClickFix）策略，借助Hijack加载器传播RedLine窃密程序。卡巴斯基数据显示，2025年1至4月期间，约8500家中小企业遭遇伪装成ChatGPT、DeepSeek、Cisco AnyConnect等AI/协作工具的恶意攻击。Zoom仿冒文件占比达41%，Outlook与PowerPoint各占16%，ChatGPT恶意文件数量同比激增115%。 尽管滥用虚假搜索列表是常见手段，但近期攻击出现新变种：劫持苹果、美国银行、微软等品牌技术支持页面的赞助搜索结果。用户会被导向品牌官网帮助中心，但页面显示的电话号码已被替换为攻击者控制的号码。该技术通过“搜索参数注入”实现——在网址栏注入伪造号码使其看似官方结果，而实际参数在搜索结果中不可见，极具迷惑性。 攻击者还在Facebook平台投放虚假广告：以“Pi Network桌面版更新”为诱饵传播窃密程序，盗取凭证与加密钱包密钥；通过4000余个仿冒电商网站（GhostVendors网络）投放短期广告实施金融欺诈。安全公司Bitdefender指出这可能是同一攻击者为最大化收益开展的并行欺诈计划。 同时，针对macOS系统的Poseidon窃密程序及Windows平台的PayDay加载器（最终投递Lumma窃密程序）活动被命名为“黑暗伙伴”（Dark Partners）。PayDay加载器利用Google日历事件隐藏C2服务器地址，其使用的邮箱echeverridelfin@gmail[.]com亦关联到恶意npm包“os-info-checker-es6”，表明攻击者持续测试不同传播方式。该加载器通过Node.js模块配合ADM-ZIP库，定位加密钱包数据并外传到硬编码C2服务器。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正在利用一个危险的漏洞针对“氛围开发者”（vibe coders）。Cursor、Windsurf 和其他 AI 驱动的代码编辑器无法访问 VS Code Marketplace（Visual Studio 市场），转而依赖风险更高的第三方平台，这些平台上恶意扩展和关键漏洞盛行。 安全公司 Secure Annex 的研究员 John Tuckner 发现了一个已被开发者下载 20 万次的恶意扩展。该扩展针对 Solidity 开发者，他们使用这种编程语言在以太坊和其他区块链上实现智能合约。 该扩展没有任何实用功能，反而运行 PowerShell 脚本，使攻击者能够远程访问受感染的计算机。“它甚至没有为用户做任何有意义的事情，只是安装了远程访问工具，”该研究员在一篇博客文章中说。 Tuckner 警告氛围开发者，他们目前使用的平台缺乏基本的安全扫描和审核机制。“分析这个扩展并不需要什么高深技术。这些扩展本应被最基本的安全扫描拦截，根本不该出现在市场中。如果连这些都没被拦住，对于那些稍微复杂一点的恶意扩展还能有什么希望？”该研究员质问道。 该恶意软件是在 Open VSX 注册表上发现的，这是一个第三方市场，随着 AI 代码编辑器的兴起而大幅流行。“我们最喜欢的大多数氛围编辑器都在使用 Open VSX，”该研究员指出。Open VSX 拥有超过 800 万开发者用户，为氛围开发者提供了他们原本无法获取的扩展。 氛围开发者无法为 Cursor 使用微软的 Visual Studio Marketplace 由于法律条款的细微差别，基于开源 VS Code 项目构建的替代代码编辑器被禁止访问官方的微软 Visual Studio Marketplace，而后者是 VS Code 开发者的首选来源。该市场仅限微软自家产品使用。“这意味着像 Cursor、Windsurf 和其他 VS Code 分支版编辑器因此默认转向其他市场，”Tuckner 解释道。这些限制使替代编辑器在为用户提供扩展时面临艰难选择。 Open VSX 应运而生，成为一个没有微软限制的替代市场，为氛围开发者提供了生命线。在这里，任何人都可以不受限制地发布或下载扩展。但不可避免地，黑客试图利用这一点。该研究员警告说，开放性带来了微软更严格管理的市场所没有的风险。“虽然微软的市场也有自身的问题，但它受益于企业监督、自动化扫描和审核流程，这些有助于在恶意扩展到达用户之前将其拦截。” 然而，Open VSX 对披露反应迅速：在三个小时内，它移除了被报告的恶意扩展（solidityai.solidity 和 soliditysupport.solid），并采取了额外措施停用了其发布者账号。 重大 Open VSX 漏洞曝光 2025年6月26日，一个影响 Open VSX 自动发布系统的关键漏洞被发现。Koi Security 披露，潜在攻击者可能滥用该漏洞来完全控制市场，并向任何扩展发布有害更新。这可能会危及数百万氛围开发者。“一个简单的漏洞就将数百万开发者置于前所未有的巨大风险之中，”Koi Security 研究人员在一份报告中表示。 存在缺陷的自动发布机制暴露了特权凭证，“包括一个属于 @open-vsx 服务账户的秘密令牌，该令牌拥有在市场中发布（或覆盖）任何扩展的权限。”“此令牌是 Open VSX 注册表的超级管理员凭证——它可以发布新扩展，更新或覆盖现有扩展。从攻击者的角度来看，那就是控制了一个完整生态系统的供应链。” 提供的时间线显示，修复该问题用了六轮修复和超过三个月的时间。维护该市场的 Eclipse 基金会虽未发现实际入侵证据，但作为预防措施主动停用了 81 个扩展。 Koi Security 敦促开发者默认将从市场、应用商店或注册表下载的任何软件视为不可信。“我们的研究团队每天都在 Open VSX、微软自家的 VSCode Marketplace，甚至私有企业市场中，发现存在漏洞和真实世界中的恶意扩展。问题具有普遍性：只要是代码，并且在你的环境中运行，它就是你的攻击面的一部分。”研究人员表示。       消息来源： Cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜黑客正通过伪造Zoom软件更新，诱使Web3和加密货币相关组织的员工安装Nim编译的macOS恶意软件——SentinelOne报告。 观察到的攻击遵循了近期归因于平壤APT组织BlueNoroff的感染链：黑客冒充受害者的可信联系人，通过Telegram邀请受害者使用流行的Calendly日程安排平台安排会议。 受害者随后会收到一封包含Zoom会议链接的电子邮件，并被指示运行一个伪装成Zoom SDK更新的恶意脚本。脚本的执行会触发一个多阶段感染链，最终导致SentinelOne统称为NimDoor的恶意二进制文件的部署。 对攻击的分析揭示了该黑客组织使用的新技术，例如： – 使用Nim编程语言构建macOS二进制文件 – 滥用wss进行进程注入和远程通信 – 依赖特定的信号处理程序实现持久化 Nim是一种静态类型的编译型系统编程语言，融合了Python、Ada和Modula等语言的概念。 “Nim阶段包含一些独特功能，包括加密配置处理、围绕Nim原生运行时构建的异步执行，以及一种在macOS恶意软件中前所未见的基于信号的持久化机制，” SentinelOne在技术报告中指出。 AppleScript在整个感染链中被广泛使用，既用于初始访问，也用于入侵后的操作，如信标通信和系统后门植入。Bash脚本被部署用于Keychain、浏览器和Telegram数据的外泄。 根据SentinelOne的说法，攻击者使用了两个Mach-O二进制文件来触发两个独立的执行链： 其中一个用C++编写，会导致执行用于数据外泄的bash脚本；另一个从Nim源代码编译，用于设置持久化并投放两个Nim编译的二进制文件，分别是’GoogIe LLC’（使用拼写错误欺骗，用小写字母”l”替换大写字母”I”）和’CoreKitAgent’。 GoogIe LLC用于设置配置文件并执行CoreKitAgent，这是一个复杂的Nim二进制文件，”作为使用macOS kqueue机制的事件驱动应用程序运行”，SentinelOne表示。 这两个载荷共同建立了持久访问和恢复机制，依靠信号处理程序拦截来自SIGINT和SIGTERM的终止信号，并重新部署核心组件。 “Nim相当独特的在编译时执行函数的能力，使攻击者能够将复杂行为融入二进制文件中，且控制流不那么明显，导致编译后的二进制文件中开发者代码和Nim运行时代码甚至在函数级别都相互交织，” SentinelOne指出。     消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 伊朗国家支持的黑客组织“Educated Manticore”被揭露针对以色列记者、网络安全专家及计算机科学教授发起钓鱼攻击。该组织与伊斯兰革命卫队(IRGC)关联，攻击者通过电子邮件和WhatsApp冒充技术高管或研究人员的虚构助理，诱导目标访问伪造的Gmail登录页面或Google Meet邀请链接。 网络安全公司Check Point将此次行动归因于代号Educated Manticore的威胁集群，该组织与APT35（及其子集群APT42）、CALANQUE、Charming Kitten等十余个知名黑客团体存在重叠。该高级持续性威胁(APT)组织长期采用精心设计的社交工程手段，通过Facebook、LinkedIn等平台虚构身份诱骗目标部署恶意软件。 Check Point指出，自2025年6月中旬伊朗-以色列冲突升级以来，该组织利用定制化的虚假会议邀请（通过邮件或WhatsApp）对以色列个人发动新攻势。由于消息结构严谨且无语法错误，推测其使用人工智能(AI)工具生成内容。其中一则WhatsApp消息甚至利用当前地缘政治紧张局势，以“急需协助开发AI威胁检测系统应对6月12日以来的网络攻击激增”为饵诱导受害者参会。 攻击初期消息不含恶意载荷，专注于建立信任。当攻击者通过对话获取目标信任后，会发送钓鱼链接导向伪造登录页面以窃取谷歌账号凭证。发送链接前，攻击者会索要目标邮箱并预填至钓鱼页面，模仿正规谷歌认证流程提升可信度。该定制钓鱼工具包采用基于React的单页应用和动态路由技术，通过实时WebSocket连接传输窃取数据，并能隐藏代码规避检测。 钓鱼页面不仅能窃取账户凭证，还可捕获双重验证(2FA)码实施中继攻击，并内置被动键盘记录程序——若用户中途放弃操作，所有输入内容仍将被窃取。部分攻击还利用Google Sites域名托管伪造会议页面，点击页面任意位置即触发认证流程。 网络安全专家警示：Educated Manticore在伊朗-以色列冲突升级阶段持续构成高危威胁。该组织以激进钓鱼手段、快速搭建攻击基础设施、及时撤除暴露据点为特征，使其能在严密监控下保持高效攻击能力。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一批新的恶意 npm 软件包，这些软件包与朝鲜发起的持续性攻击活动“Contagious Interview”（传染性面试）有关。 安全公司 Socket 表示，此次供应链攻击涉及 24 个 npm 账户上传的 35 个恶意软件包。这些软件包已被累计下载超过 4000 次。 其中，有六个软件包目前仍可从 npm 下载：react-plaid-sdk、sumsub-node-websdk、vite-plugin-next-refresh、vite-loader-svg、node-orm-mongoose 和 router-parse。 每个已识别的 npm 软件包都包含一个名为 HexEval 的十六进制编码加载器。该加载器设计用于在安装后收集主机信息，并有选择地投递后续有效载荷，该载荷负责投递一个已知的 JavaScript 窃密程序 BeaverTail。 BeaverTail 则被配置为下载并执行一个名为 InvisibleFerret 的 Python 后门，从而使威胁行为者能够收集敏感数据并对受感染主机建立远程控制。 “这种嵌套结构有助于该活动逃避基本的静态扫描和人工审核，” Socket 研究员 Kirill Boychenko 说道，“其中一个 npm 别名还附带了一个跨平台键盘记录器软件包，可以捕获每个按键操作，这表明威胁行为者随时准备在目标需要时定制有效载荷以进行更深入的监视。” “传染性面试”（Contagious Interview）是由 Palo Alto Networks Unit 42 于 2023 年底首次公开记录的，是由朝鲜政府支持的威胁行为者发起的一项持续性攻击活动，旨在未经授权访问开发者系统，窃取加密货币和数据。 该攻击群还被广泛追踪，其绰号包括 CL-STA-0240、DeceptiveDevelopment、DEV#POPPER、Famous Chollima（著名千里马）、Gwisin Gang（鬼怪帮）、Tenacious Pungsan（坚韧的普山）、UNC5342 和 Void Dokkaebi（虚空德基）。 该攻击群的近期迭代还被发现利用 ClickFix 社会工程学策略来传播 GolangGhost 和 PylangGhost 等恶意软件。该活动子集群被命名为 ClickFake Interview。 Socket 的最新发现表明，平壤的威胁行为者正在采取多管齐下的策略，利用各种方法诱骗潜在目标以采访或 Zoom 会议为借口安装恶意软件。 “传染性面试”的 npm 分支通常涉及攻击者冒充 LinkedIn 上的招聘人员，通过分享托管在 GitHub 或 Bitbucket 上的恶意项目链接（该项目嵌入了 npm 软件包）来向求职者和开发者发送编码任务。 “他们瞄准正在积极求职的软件工程师，利用求职者通常对招聘人员的信任，” Boychenko 说道，“虚假身份会主动联系，通常会使用事先准备好的推广信息和令人信服的职位描述。” 然后，在所谓的面试过程中，受害者会被诱导在容器化环境之外克隆并运行这些项目。 “此次恶意活动凸显了朝鲜供应链攻击中不断演变的伎俩，它融合了恶意软件预演、开源情报 (OSINT) 驱动的攻击和社会工程学，旨在通过可信生态系统入侵开发者。” Socket 说道。 通过在开源软件包中嵌入 HexEval 等恶意软件加载器，并通过虚假的作业分配进行传播，威胁行为者得以绕过外围防御，并在目标开发人员的系统上执行攻击。 该攻击活动的多阶段结构、极小的注册表占用空间以及规避容器化环境的尝试表明，资源充足的对手正在实时改进其入侵方法。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯国家支持的黑客组织APT28正利用Signal聊天软件针对乌克兰政府目标发起攻击，部署两种此前未公开的恶意软件家族BeardShell和SlimAgent。需明确的是，这并非Signal自身的安全漏洞，而是因全球政府广泛使用该平台，攻击者将其作为钓鱼攻击的新渠道。 乌克兰计算机应急响应小组（CERT-UA）最早于2024年3月发现此类攻击，但当时未能完全揭示感染途径细节。2025年5月，ESET向CERT-UA通报某gov.ua政府邮箱账户遭未授权访问，触发新一轮事件响应。调查发现，攻击者通过Signal发送恶意文档（Акт.doc），该文档利用宏功能加载名为Covenant的内存驻留后门。 Covenant作为恶意软件加载器，会下载DLL文件（PlaySndSrv.dll）和携带shellcode的WAV音频（sample-03.wav），进而加载用C++编写的BeardShell恶意软件。攻击者通过劫持Windows注册表的COM组件实现持久化控制。BeardShell的核心功能包括： 下载PowerShell脚本 使用chacha20-poly1305算法解密脚本 执行脚本并将结果回传至命令控制（C2）服务器（通过Icedrive API实现通信） 在2024年的攻击中还发现名为SlimAgent的屏幕截图工具，该工具调用Windows API（包括EnumDisplayMonitors、CreateCompatibleDC等）截取屏幕，使用AES和RSA加密图像后暂存本地，疑似等待其他载荷将其回传至APT28服务器。 CERT-UA将此活动归因于APT28（内部追踪代号UAC-0001），建议潜在目标监控与app.koofr.net、api.icedrive.net的网络交互。该组织长期针对乌克兰及欧美关键机构实施网络间谍活动，具有高度技术能力——2024年11月Volexity曾曝光其利用“最近邻”技术通过附近Wi-Fi网络实施远程入侵。 2025年Signal频成俄乌网络战焦点：攻击者滥用“设备关联”功能劫持账户，利用该平台分发Dark Crystal RAT等恶意软件。 乌克兰政府曾表示失望，称Signal未配合阻断俄罗斯攻击行动。但Signal总裁梅雷迪思·惠特克回应称，平台从未向乌克兰或其他政府提供用户通信数据。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新型安卓恶意软件“Godfather”通过虚拟环境窃取银行数据。该恶意软件利用嵌入虚拟化框架的APK文件，整合开源工具VirtualApp引擎和Xposed框架创建隔离环境。当用户设备安装目标银行应用时，恶意程序将其置入虚拟容器，通过“桩活动”(StubActivity)在宿主应用中启动。此举欺骗安卓系统使其误判为合法应用运行，实则拦截并操控所有操作。 核心欺骗技术 意图劫持：利用无障碍服务权限拦截银行应用启动指令，将其重定向至虚拟容器内的桩活动 视觉伪装：用户所见界面与真实银行应用完全一致，但所有交互数据（账号、密码、PIN码、触屏操作）均通过API钩子技术被窃取 场景欺骗：在关键操作节点弹出虚假锁屏界面诱骗输入密码，执行交易时显示伪装更新/黑屏界面掩盖后台操作 相比2022年Group-IB分析的版本（仅覆盖400个应用、16国），新版具备三大突破： 攻击范围：目标应用扩展至全球500余个银行/加密货币/电商平台 虚拟化深度：构建完整虚拟文件系统，伪造虚拟进程ID，实现更彻底的运行环境隔离 设备兼容：通过桩活动声明机制规避安卓系统对未注册活动的检测 威胁演变轨迹 2021年3月：由ThreatFabric首次发现，初代版本基于银行木马Anubis代码改造 2022年12月：进化至采用HTML覆盖攻击界面，移除GPS跟踪等冗余功能 2024年6月：Zimperium捕获最新变种，确认其具备虚拟环境操控能力，当前主要针对土耳其银行，但底层框架支持全球多区域攻击 防御建议 仅通过Google Play或可信渠道安装应用 启用Play Protect防护功能并定期更新系统 警惕应用索取的权限请求，特别是无障碍服务权限 该攻击模式与2023年末出现的FjordPhantom恶意软件类似，均通过虚拟化技术绕过检测。但Godfather的攻击广度与技术复杂度显著提升，标志着移动银行威胁进入新阶段。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜黑客正将矛头对准加密货币与区块链行业的求职者，通过感染应聘者设备实施数据窃取。思科Talos研究人员发现，一个名为“千里马”（Famous Chollima）的朝鲜黑客组织自2024年中起，针对印度等地的少量目标人群发起定向攻击。 该组织伪造知名企业身份，诱使真实的软件工程师、营销人员及设计师等应聘者访问技能测试页面。思科Talos在6月18日的报告中指出：“从发布的职位信息可明确看出，千里马组织广泛锁定具有加密货币和区块链技术经验的人群。其技能测试网站伪装成Coinbase、Archblock、Robinhood等真实企业，以此精准定位目标人群。” 受害者会收到测试网站的邀请码，需填写个人信息并完成技能测试。随后，应聘者被要求录制视频面试。当用户授权网站使用摄像头时，页面会显示“安装视频驱动程序”的指令，诱导其复制粘贴恶意代码到终端。思科Talos将这种策略称为“点击修复”（ClickFix）——通过虚构系统错误提示，利用人类解决问题的本能心理，诱骗目标执行最终导致恶意软件下载的命令。 黑客为MacOS和Windows系统开发了专属恶意软件“PylangGhost”，可窃取多种浏览器扩展程序存储的凭证、会话cookie等关键数据。该恶意软件具有模块化结构，通过RC4加密通信连接命令控制服务器，支持远程系统操控及文件窃取。 “千里马”等组织深度参与朝鲜向欧美科技公司渗透公民的计划：既通过合法薪资赚取外汇，又借助对区块链企业的渗透实施加密货币盗窃。美国执法部门估算，此类行动为朝鲜军方创收数十亿美元。本次攻击活动还暴露出朝鲜更深层的意图：窃取加密货币领域成功求职者的属性信息，为其公民伪造身份应聘提供参考；同时预先感染可能入职合法企业的开发者设备，为后续攻击埋下伏笔。 去年12月，加密货币平台Radiant Capital遭遇的5000万美元劫案正是类似手法的重演：黑客冒充公司前承包商，向工程师发送暗藏恶意软件INLETDRIFT的PDF文件，该后门专门针对macOS设备。自2023年以来，安全专家持续警告使用MacBook的加密货币从业者是朝鲜黑客的首要目标。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文