HackerNews 编译，转载请注明出处： Symantec 和 Carbon Black 威胁猎人团队的最新报告显示，与朝鲜相关的 Lazarus Group（又称 Diamond Sleet、Pompilus）在针对中东一家未具名机构的攻击中使用了 Medusa 勒索软件。 Broadcom 威胁情报部门表示，其还发现同一威胁行为者对美国一家医疗机构发起了攻击，但未成功。Medusa 是由网络犯罪组织 Spearwing 于 2023 年推出的勒索软件即服务（RaaS）项目。该组织迄今已宣称实施超过 366 起攻击。 该公司在提交给 The Hacker News 的报告中称：“对 Medusa 数据泄露站点的分析显示，自 2025 年 11 月初以来，美国有四家医疗和非营利机构遭到攻击。” “受害者包括一家心理健康领域非营利机构和一家自闭症儿童教育机构。”目前尚不清楚这些受害者是否全部由朝鲜相关人员攻击，还是部分攻击由其他 Medusa 合作方实施。该期间的平均勒索金额为 260,000 美元。 朝鲜黑客组织使用勒索软件并非没有先例。早在 2021 年，Lazarus 旗下名为 Andariel（又称 Stonefly）的分支就被发现使用 SHATTEREDGLASS、Maui、H0lyGh0st 等定制勒索软件攻击韩国、日本和美国的机构。 随后在 2024 年 10 月，该黑客组织还与 Play 勒索软件攻击相关联，标志着其转向使用现成的加密工具加密受害者系统并索要赎金。 不过，并非只有 Andariel 从定制勒索软件转向使用现成版本。去年，Bitdefender 披露，另一个被追踪为 Moonstone Sleet 的朝鲜威胁行为者此前曾使用名为 FakePenny 的定制勒索软件，而现在可能使用 Qilin 勒索软件攻击了多家韩国金融公司。 该公司向 The Hacker News 表示，这些变化可能标志着朝鲜黑客组织的战术转变：他们开始作为成熟 RaaS 组织的合作方运作，而非自行开发工具。 Symantec 和 Carbon Black 威胁猎人团队首席情报分析师 Dick O’Brien 表示：“其动机很可能是实用主义。”“既然可以使用 Medusa 或 Qilin 这类经过验证的威胁，何必费力开发自己的勒索软件有效载荷？”“他们可能认为，扣除合作方费用后，收益仍大于成本。” Lazarus Group 的 Medusa 勒索软件行动中使用了多种工具： ·     RP_Proxy，一款定制代理工具 ·     Mimikatz，一款公开可用的凭证窃取程序 ·     Comebacker，该威胁行为者专用的定制后门 ·     InfoHook，一款此前被发现与 Comebacker 配合使用的信息窃取工具 ·     BLINDINGCAN（又称 AIRDRY、ZetaNile），一款远程访问木马 ·     ChromeStealer，一款用于从 Chrome 浏览器提取存储密码的工具 尽管此类勒索攻击与 Andariel 以往的攻击模式相似，但该活动尚未与 Lazarus 旗下任何具体分支关联。 该公司表示：“转向使用 Medusa 表明，朝鲜在网络犯罪中的疯狂参与丝毫未减。”“朝鲜相关行为者在攻击美国机构时似乎毫无顾忌。”尽管部分网络犯罪组织因可能引发声誉风险而声称避开医疗机构，但 Lazarus 似乎不受任何此类约束。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 事件响应人员发布的新报告显示，朝鲜黑客针对一家加密货币公司的管理人员发起攻击，部署了多款独特恶意软件，并配合包括虚假 Zoom 会议在内的多种诈骗手段。 谷歌旗下的 Mandiant 发布了针对近期一起攻击事件的详细分析，该事件涉及朝鲜境内以牟利为目的的威胁组织 UNC1069，此次攻击因对受害者的高度定制化与针对性而尤为突出。 黑客最初通过 Telegram 联系受害者，使用的是另一名加密货币行业高管遭攻陷的账号。受害者被发送了一个 Calendly 链接，用以预约一场30分钟的会议，其中包含一个 Zoom 会议链接。 Mandiant 解释称：“受害者报告称，在通话期间，对方展示了一段另一家加密货币公司 CEO 的视频，该视频似乎是深度伪造的。”“尽管 Mandiant 未能在此特定实例中获取法证证据以独立验证 AI 模型的使用，但所报告的欺骗手段与之前公开报道的、具有类似特征的一起事件相似，该事件中也据称使用了深度伪造。” 当受害者进入会议后，黑客声称存在音频问题——诱使受害者在其设备上执行多项操作，据称是为了解决问题。这些问题是为掩盖 ClickFix 攻击而设的骗局——这是一种黑客通过让受害者尝试解决虚构的技术问题来在其设备上安装恶意软件的技术。 在此案例中，受害者被引导至一个网页，该网页提供了针对 macOS 系统和 Windows 系统的故障排除说明。在一系列命令中嵌入了一行启动感染链的代码。 受害者按照故障排除命令操作后，其 macOS 设备被感染。 首批恶意文件，Mandiant 称之为 WAVESHAPER 和 HYPERCALL，是后门程序，允许黑客安装其他工具以扩大其在受害者设备上的立足点。 Mandiant 表示，发现了威胁行为者使用的两种不同的数据窃取工具，分别称为 DEEPBREATH 和 CHROMEPUSH。DEEPBREATH 使黑客能够窃取凭证、浏览器数据、Telegram 中的用户数据以及 Apple 备忘录中的其他数据。该恶意软件将所有信息压缩成 ZIP 存档并外泄到远程服务器。 CHROMEPUSH 是一个恶意工具，被伪装成用于离线编辑 Google 文档的无害浏览器扩展。但该工具实际上会记录击键、跟踪用户名和密码、窃取浏览器 Cookie 等。 事件响应人员指出，这次攻击涉及“异常大量的工具被投放到针对单个个人的单一主机上”——这使他们相信这是一次旨在窃取尽可能多信息的特定攻击。 他们表示，其目的可能具有双重性：“既为了实施加密货币盗窃，也为了利用受害者的身份和数据推动未来的社会工程活动。” Mandiant 称自 2018 年以来一直在追踪 UNC1069，并观察到其攻击手法自此发生了显著演变——特别是近期针对中心化交易所、金融机构的软件开发人员、高科技公司以及风险投资基金中的个人。 Mandiant 解释道：“尽管与 2025 年其他组织（如 UNC4899）相比，UNC1069 对加密货币劫案的影响较小，但它仍然是一个活跃的威胁，以为获取经济利益为目标，针对中心化交易所以及实体和个人。”“Mandiant 观察到该组织在 2025 年活跃于针对金融服务和加密货币行业的支付、经纪、质押和钱包基础设施等垂直领域。” UNC1069 在对企业实体以及加密货币行业人员的攻击中使用了虚假的 Zoom 会议和各种 AI 工具。Mandiant 表示，已观察到这个朝鲜组织使用谷歌的 Gemini AI 工具进行行动研究、开发工具等。 上个月在联合国，美国官员表示，已有数十个国家遭遇了朝鲜黑客实施的加密货币盗窃。朝鲜被指控在 2025 年窃取了超过 20 亿美元的加密货币。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜威胁行为体Konni近期被发现使用AI工具生成的PowerShell恶意软件，针对区块链领域的开发者和工程团队发起攻击。该钓鱼活动已瞄准日本、澳大利亚和印度用户。 根据Check Point研究团队报告，Konni的恶意活动已超越其常规攻击范围，显示出在亚太地区更广泛的攻击目标。该黑客组织通常攻击韩国、俄罗斯、乌克兰及欧洲的机构。 此次攻击主要针对具备区块链相关资源和基础设施专业知识或访问权限的软件开发人员及工程团队。Konni使用伪装成合法项目文档的诱饵内容，这些内容通常与区块链及加密货币项目相关。 具体而言，攻击活动通过Discord内容分发网络投放模仿项目需求文档的ZIP文件，从而展开多阶段攻击链。诱饵文档包含架构、技术栈、开发时间表等技术细节，部分甚至包含预算和交付里程碑。 研究人员在技术报告中指出：“这种模式表明其意图是渗透开发环境，从而获取包括基础设施、API凭证、钱包访问权限乃至加密货币资产在内的敏感资产。” 为实现攻击目的，攻击者部署了AI生成的PowerShell后门程序。该脚本具有异常精巧的结构，但代码中直接嵌入了注释：”# <– 您的永久项目UUID”。 Check Point解释称：”这种措辞是LLM生成代码的典型特征，模型会明确指示用户如何自定义占位符数值。此类注释常见于AI生成的脚本和教程中。” 研究人员表示，所有这些都凸显了包括朝鲜组织在内的威胁行为体对AI技术的使用日益增多。 Check Point强调：”与针对个人终端用户不同，此次攻击活动的目标似乎是在开发环境中建立据点，通过渗透开发环境可获得跨多个项目和服务的更广泛下游访问权限。AI辅助工具的引入表明攻击者正试图在继续依赖成熟传播手段和社会工程学的同时，加速开发进程并实现代码标准化。” 该组织至少自2014年开始活跃，通常依靠鱼叉式钓鱼攻击传播围绕朝鲜半岛地缘政治议题制作的武器化文档。Konni以针对韩国的机构和个人而闻名，重点关注外交渠道、国际关系、非政府组织、学术界和政府机构，也被追踪为Earth Imp、Opal Sleet、Osmium、TA406和Vedalia。 去年11月，Konni曾被发现通过利用谷歌资产跟踪服务Find Hub攻击Android设备，远程重置受害者设备并清除其个人数据。 消息来源: cybernews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜相关联的黑客组织，已成为 2025 年全球加密货币盗窃激增的主要推手。在 1 月至 12 月初全球被盗的 34 亿多美元加密货币中，该组织窃取金额至少达 20.2 亿美元。 区块链情报公司 Chainalysis 向The Hacker News披露的《加密犯罪报告》显示，这一数字较2024年的13亿美元增加6.81亿美元，同比增幅达 51%。该公司指出：“就被盗金额而言，2025年是朝鲜加密货币盗窃史上最严重的一年，其发起的攻击占所有服务入侵事件的比例也达到创纪录的 76%。截至目前，朝鲜累计窃取的加密货币资金下限估计已达67.5亿美元。” 在朝鲜窃取的20.2亿美元中，仅2月对加密货币交易所 Bybit的攻击就造成15亿美元损失。该攻击被归因于名为 TraderTraitor（又名 Jade Sleet、Slow Pisces）的黑客集群。哈德逊・罗克本月初发布的分析报告显示，一台感染了 Lumma Stealer恶意软件的设备，因关联邮箱 “trevorgreer9312@gmail [.] com”的存在，被证实与Bybit黑客攻击的基础设施相关联。 此类加密货币盗窃是朝鲜支持的黑客组织Lazarus集团过去十年间发起的一系列广泛攻击的一部分。上月，韩国最大加密货币交易所Upbit价值3600万美元的加密货币被盗，此案有关也与Lazarus相关。Lazarus集团隶属于朝鲜侦察总局，据估计，2020年至2023年间，该组织通过超25次加密货币盗窃，窃取了至少2亿美元。 黑客组织的双重作案策略 作为全球最活跃的黑客组织之一，朝鲜黑客还长期开展一项名为 “梦想工作行动”的活动。他们通过领英或 WhatsApp 联系国防、制造、化工、航空航天和科技领域的潜在求职者，以高薪工作为诱饵，诱使其下载并运行 BURNBOOK、MISTPEN、BADCALL 等恶意软件。这些行动的最终目标具有双重性：一是收集敏感数据，二是规避国际制裁，为朝鲜政权赚取非法收入。 朝鲜黑客采用的第二种策略是，通过虚假身份或专门设立的幌子公司，将信息技术人员安插在全球各地的企业中。这包括获取加密货币服务的特权访问权限，为大规模盗窃创造条件。这一欺诈运作模式被称为 “薪资鼹鼠”。Chainalysis 指出：“2025年盗窃金额创纪录，部分原因可能是朝鲜黑客扩大了对交易所、托管机构和Web3公司的IT人员渗透，这种方式能加速初始访问和横向移动，为大规模盗窃铺路。” 资金洗白路径与相关案件判决 无论使用何种方法，被盗资金都会通过中文的钱款转移和担保服务，以及跨链桥、混币器和Huione等专门市场进行洗钱。此外，被盗资产遵循一种结构化的、多阶段的洗钱路径，该路径大约在黑客攻击后的45天内展开： 第一阶段：即时分层（0-5 天）—— 利用去中心化金融协议和混币服务，迅速将资金与盗窃源头脱钩； 第二阶段：初步整合（6-10 天）—— 将资金转移至加密货币交易所、二级混币服务以及 XMRt 等跨链桥； 第三阶段：最终整合（20-45 天）—— 通过相关服务将加密货币最终兑换为法定货币或其他资产。 Chainalysis 表示：“朝鲜黑客大量使用专业中文洗钱服务和场外交易商，这表明他们与亚太地区的非法行为者联系紧密，也与朝鲜历史上利用中国境内网络接入国际金融体系的做法一致。” 与此同时，美国司法部披露，马里兰州 40 岁男子Minh Phuong Ngoc Vong因参与朝鲜 IT 人员渗透计划，被判处 15 个月监禁。2021 年至 2024 年间，该男子伪装其教育背景、培训经历和工作经验，成功受雇于至少 13 家美国公司，包括与美国联邦航空管理局签订合同。而这些工作实际上是由海外同谋者完成的。 美国司法部表示：”Vong与他人合谋，包括一名住在沈阳、化名为William James的外国国民，欺骗美国公司雇佣Vong为远程软件开发人员。在通过关于其教育、培训和经验的重大虚假陈述获得这些工作后，Vong允许James等人使用他的计算机访问凭证来执行远程软件开发工作并收取报酬。 值得注意的是，朝鲜关联黑客的 IT 人员渗透策略正发生转变：他们越来越多地以招聘者身份，通过 Upwork、Freelancer 等平台招募合作者，以扩大运作规模。 Security Alliance上月发布的报告指出：“这些招聘者会按照固定话术接触目标，寻求‘合作者’帮助投标和交付项目，并提供账户注册、身份验证和权限共享的详细步骤。在许多案例中，受害者最终会交出自由职业者账户的完全访问权限，或安装 AnyDesk、Chrome 远程桌面等远程控制工具，这使得黑客能够以受害者的已验证身份和 IP 地址运作，规避平台审核并开展非法活动。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 韩国最大加密货币交易所 Upbit 周三晚间遭黑客盗取价值 3000 万美元的加密货币，韩国政府官员正介入调查。 周五，韩国官员向该媒体透露，根据黑客入侵加密货币平台的攻击手段及被盗资金的洗钱方式，朝鲜 Lazarus 黑客组织大概率与此次盗窃事件有关。 调查人员认为，黑客先是冒充 Upbit 管理员身份，随后转移了约 3000 万美元的加密资产。 Upbit 公司在声明中将此次盗窃称为 “异常提现”，并表示正针对该起攻击事件展开调查。 其母公司 Dunamu 首席执行官吴京锡（音译）补充称，平台已暂停充值和提现服务。 所有损失将由 Upbit 承担。值得注意的是，此次攻击发生在前一日 —— 韩国互联网巨头 Naver 以 100 亿美元收购 Dunamu 之后。 “发现异常提现后，Upbit 立即对相关网络及钱包系统进行了紧急安全审查，” 该首席执行官表示，“为防止进一步的异常转账，所有资产已转移至安全的冷钱包中。” 周四，Upbit 已追踪到部分被盗资金流入另一个钱包，并正尝试冻结相关资产，阻止其被进一步转移。 调查人员指出，此次攻击具备 2019 年 Upbit 被盗事件的典型特征 —— 当时该平台约 4000 万美元资产遭窃，而那起事件同样被归咎于 Lazarus 组织。该组织是全球最为活跃的国家支持黑客组织之一。 据称，Lazarus 组织隶属于朝鲜侦察总局。过去九年间，该组织已盗取价值数十亿美元的加密货币。区块链监测公司 Chainalysis 数据显示，2024 年与朝鲜政府相关的黑客组织在 47 起事件中，共窃取价值 13 亿美元的加密资产。 今年 2 月，该组织被指控从迪拜加密货币平台 Bybit 盗取 15 亿美元。联合国去年表示，其正在追踪过去五年间的数十起相关事件，这些事件已为朝鲜带来 30 亿美元的非法收入。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 发起 “传染性面试”（Contagious Interview）行动的朝鲜威胁行为者自上月以来，持续向 npm 代码仓库批量上传 197 个恶意包。 据网络安全公司 Socket 透露，这些恶意包的下载量已超 3.1 万次，其设计目的是分发 OtterCookie 恶意软件变体 —— 该变体整合了 BeaverTail 恶意软件与 OtterCookie 早期版本的核心功能。 已识别的部分 “加载器” 恶意包如下：bcryptjs-node、cross-sessions、json-oauth、node-tailwind、react-adparser、session-keeper、tailwind-magic、tailwindcss-forms、webpack-loadcss 该恶意软件启动后，会首先尝试规避沙箱与虚拟机检测、收集目标设备信息，随后建立命令与控制（C2）通道，为攻击者提供远程控制权限。其核心功能包括窃取剪贴板内容、记录键盘输入、捕获屏幕截图，以及收集浏览器凭据、文档文件、加密货币钱包数据与助记词。 值得注意的是，思科 Talos 团队上月曾报告过 OtterCookie 与 BeaverTail 功能边界模糊的现象 —— 斯里兰卡某总部机构的系统曾遭感染，推测用户是在虚假招聘面试流程中，被诱骗运行了包含恶意代码的 Node.js 应用程序。 进一步分析显示，这些恶意包会连接至硬编码的 Vercel 网址（“tetrismic.vercel [.] app”），并从攻击者控制的 GitHub 仓库中获取跨平台 OtterCookie 载荷。目前用于分发载荷的 GitHub 账号 “stardev0914” 已无法访问。 网络安全研究员基里尔・博伊琴科表示：“‘传染性面试’行动的持续高发使其成为利用 npm 仓库最猖獗的攻击活动之一，这也表明朝鲜威胁行为者已彻底将其攻击工具适配至现代 JavaScript 开发流程与加密货币相关业务场景。” 与此同时，该威胁行为者搭建的虚假评估类网站还通过 “ClickFix 式” 操作指引传播恶意软件 GolangGhost（又名 FlexibleFerret、WeaselStore），伪装成 “修复摄像头或麦克风故障” 的工具。此类活动被归类为 “ClickFake Interview” 攻击行动。 GolangGhost 恶意软件基于 Go 语言开发，运行后会连接硬编码的 C2 服务器并进入持久化命令处理循环，核心功能包括收集系统信息、上传 / 下载文件、执行操作系统命令，以及窃取谷歌浏览器数据。其持久化机制为：在 macOS 系统中写入启动代理（LaunchAgent），通过 Shell 脚本实现用户登录时自动执行。 攻击链中还包含一个诱饵应用程序：首先弹出伪造的 Chrome 浏览器摄像头授权提示以维持骗局，随后展示 Chrome 风格的密码输入框，捕获用户输入内容并发送至指定 Dropbox 账号。 网络安全公司 Validin 指出：“尽管存在部分重叠，但该行动与朝鲜其他‘IT 工作者渗透计划’存在显著区别 —— 后者主要通过虚假身份将人员嵌入合法企业，而‘传染性面试’则通过分阶段招聘流程、恶意编码测试、虚假招聘平台等方式针对个人实施攻击，本质上是将求职流程武器化。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部周五宣布，五名涉案人员对协助朝鲜IT工作者实施欺诈的指控表示认罪。这些人员通过盗用美国公民身份，帮助朝鲜IT工作者获取在美国企业的工作机会，违反了国际制裁规定。 这五名人员包括奥德里库斯·法格纳赛、杰森·萨拉查、亚历山大·保罗·特拉维斯、奥列克桑德·迪登科和埃里克·恩特克雷兹·普林斯。其中法格纳赛、萨拉查和特拉维斯在2019年9月至2022年11月期间，明知故犯地允许境外IT工作者使用他们的美国身份入职美国公司。 这三名被告还充当协调人，将公司配发的笔记本电脑安置在自己住所，并擅自安装远程桌面软件，制造这些IT工作者是在美国境内远程工作的假象。更甚的是，萨拉查和特拉维斯还曾代替境外IT工作者接受雇主的药检。 乌克兰籍的迪登科则通过其运营的网站”Upworksell.com“，盗用美国公民身份并将其出售给IT工作者，帮助他们成功入职40家美国公司。迪登科还通过在美国境内设立”笔记本电脑农场”的方式，为境外IT工作者提供设备托管服务。据悉，他管理的虚假身份多达871个，并同意上缴超过140万美元的非法所得。 普林斯则通过其创立的Taggcar公司，在2020年6月至2024年8月期间向美国企业输送”认证”IT工作者，并在其佛罗里达住所运营笔记本电脑农场，从中获利超过8.9万美元。 美国司法部指出：”这些欺诈性就业计划共影响超过136家美国受害企业，为朝鲜政权创造了超过220万美元收入，并危及18名美国公民的身份安全。” 作为系列执法行动的一部分，美国司法部还提交了两项民事没收诉讼，要求没收2025年3月从朝鲜黑客组织APT38处查获的价值超过1500万美元的加密货币。这些数字资产被指控是通过攻击境外虚拟货币平台非法获取。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜有关联的威胁行为者发起了新一轮攻击，目标是活跃于国防领域的欧洲企业。此次攻击是 “梦想工作行动”长期活动的一部分。 ESET 安全研究员彼得・卡尔奈和亚历克西斯・拉潘在一份分享给 The Hacker News 的报告中表示：“部分目标企业深度涉足无人机领域，这表明该行动可能与朝鲜当前扩大其无人机项目的努力有关。” 这家斯洛伐克网络安全公司称，其于 2025 年 3 月底首次发现该活动。部分被攻击实体包括：东南欧一家金属工程公司、中欧一家飞机零部件制造商，以及中欧一家国防企业。 恶意软件 经评估，该活动的最终目标是窃取专有信息和制造技术，所使用的恶意软件家族包括 ScoringMathTea 和 MISTPEN。 ScoringMathTea 的首次出现可追溯至 2022 年 10 月。此前曾于 2023 年初被 ESET 发现，当时它被用于攻击印度一家科技公司和波兰一家国防承包商。 而 MISTPEN 则于 2024 年 9 月被Google和Mandiant记录在案，当时它被用于入侵能源和航空航天领域的企业。 “梦想工作行动” 最早由以色列网络安全公司 ClearSky 于 2020 年曝光，是朝鲜一个多产黑客组织Lazarus Group发起的持续性攻击活动。该黑客集团还有多个追踪代号，包括 APT-Q-1、Black Artemis、Diamond Sleet、Hidden Cobra、TEMP.Hermit 和 UNC2970。据信，该黑客集团至少自 2009 年起就已开始运作。 攻击手段 在这些攻击中，威胁行为者利用类似 “传染性面试”的社会工程学诱饵，向潜在目标提供高薪工作机会，诱骗他们在系统中植入恶意软件。 该活动还与多个攻击集群存在关联，包括 DeathNote、NukeSped、Operation In (ter) ception和Operation North Star。 ESET 研究员表示：“这类攻击的核心模式是‘高薪虚假工作机会 + 恶意软件’：目标会收到包含职位描述的诱饵文档，以及一个用于打开该文档的植入了木马的 PDF 阅读器。” 攻击链最终会执行一个二进制文件，该文件负责侧载一个恶意动态链接库（DLL）。这个恶意 DLL 会释放 ScoringMathTea，同时还会释放一个名为 BinMergeLoader 的复杂下载器。BinMergeLoader 的功能与 MISTPEN 类似，会利用微软图形接口和令牌获取更多有效载荷。 研究人员还发现了另一种感染流程：通过一个未知的投放器交付两个中间有效载荷，第一个中间有效载荷会加载第二个，最终部署 ScoringMathTea。 ScoringMathTea 是一款高级远程访问木马，支持约 40 条命令，可完全控制被入侵的设备。 ESET 表示：“近三年来，Lazarus Group一直保持着固定的攻击模式，部署其偏好的主要有效载荷 ScoringMathTea，并使用类似方法在开源应用中植入木马。 这种模式虽可预测，但十分有效，能通过足够的多态性规避安全检测，即便它无法隐藏该集团的身份，也无法干扰溯源过程。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与”传染性面试”攻击活动相关的朝鲜威胁行为体被观察到合并了其两个恶意软件程序的部分功能，这表明该黑客组织正在积极改进其工具集。 这一结论来自思科Talos的新发现，该机构表示，在黑客组织近期的攻击活动中，BeaverTail和OtterCookie的功能比以往任何时候都更加接近，同时后者还新增了一个用于键盘记录和屏幕截图的功能模块。 该活动被归因于一个被网络安全社区以多个代号追踪的威胁集群，这些代号包括：CL-STA-0240、DeceptiveDevelopment、DEV#POPPER、Famous Chollima、Gwisin Gang、PurpleBravo、Tenacious Pungsan、UNC5342、Void Dokkaebi和WaterPlum。 这一进展出现之际，谷歌威胁情报小组和Mandiant披露，该威胁行为体使用了一种名为“EtherHiding”的隐秘技术，从BNB智能链或以太坊区块链获取下一阶段的有效载荷，实质上将去中心化基础设施变成了一个弹性的命令与控制服务器。这是首个有记录的国家级行为体使用该方法的案例，而该方法此前一直被网络犯罪集团所采用。 “传染性面试”指的是一项始于2022年底左右的精心策划的招聘骗局，朝鲜威胁行为体冒充招聘组织，针对求职者，欺骗他们安装信息窃取型恶意软件，作为所谓的技术评估或编码任务的一部分，从而导致敏感数据和加密货币被盗。 近几个月来，该攻击活动发生了几次转变，包括利用ClickFix社会工程学技术来投递恶意软件家族，如GolangGhost、PylangGhost、TsunamiKit、Tropidoor和AkdoorTea。然而，这些攻击的核心是被称为BeaverTail、OtterCookie和InvisibleFerret的恶意软件家族。 BeaverTail和OtterCookie是独立但互补的恶意软件工具，后者于2024年9月首次在真实世界的攻击中被发现。与作为信息窃取器和下载器的BeaverTail不同，OtterCookie的初始交互旨在联系远程服务器并获取在受感染主机上执行的命令。 思科Talos检测到的活动涉及一家总部位于斯里兰卡的组织。据评估，该公司并非该威胁行为体的有意目标，而是他们的一台系统可能在一名用户成为虚假工作机会的受害者后被感染，该虚假工作指示他们安装一个名为Chessfi的被木马化的Node.js应用程序（托管在Bitbucket上），作为面试过程的一部分。 有趣的是，该恶意软件包含一个通过名为”node-nvm-ssh”的包引入的依赖项，该包由名为”trailer”的用户于2025年8月20日发布到官方npm仓库。该包总共获得了306次下载，随后于六天后被npm维护者下架。 同样值得注意的是，上述npm包是软件供应链安全公司Socket本周早些时候标记的与”传染性面试”活动相关的338个恶意Node.js库之一。 该包一旦安装，就会通过其package.json文件中的一个postinstall钩子触发恶意行为，该钩子被配置为运行一个名为”skip”的自定义脚本，以启动一个JavaScript有效载荷，该有效载荷进而加载另一个负责执行最终阶段恶意软件的JavaScript文件。 对该攻击中使用的工具的进一步分析发现，”它兼具BeaverTail和OtterCookie的特征，模糊了两者之间的区别，”安全研究人员Vanja Svajcer和Michael Kelley表示，并补充说它包含了一个新的键盘记录和屏幕截图模块，该模块使用合法的npm包来分别捕获击键和进行屏幕截图，并将信息渗出到C2服务器。 该新模块的至少一个版本配备了一个辅助剪贴板监控功能，以窃取剪贴板内容。新版本OtterCookie的出现描绘了一个工具从基本数据收集演变为用于数据窃取和远程命令执行的模块化程序的图景。 该恶意软件中同样存在的功能类似于BeaverTail，用于枚举浏览器配置文件和扩展、从Web浏览器和加密货币钱包窃取数据、安装AnyDesk以实现持久远程访问，以及下载一个被称为InvisibleFerret的Python后门。 OtterCookie中存在的其他一些模块列于下文： 远程Shell模块：向C2服务器发送系统信息和剪贴板内容，并安装”socket.io-client” npm包以连接到OtterCookie C2服务器的特定端口，并接收待执行的进一步命令。 文件上传模块：系统地枚举所有驱动器并遍历文件系统，以查找匹配特定扩展名和命名模式的文件，将其上传到C2服务器。 加密货币扩展窃取模块：从安装在Google Chrome和Brave浏览器上的加密货币钱包扩展中提取数据。 此外，Talos表示检测到一个基于Qt的BeaverTail构件和一个包含BeaverTail和OtterCookie代码的恶意Visual Studio Code扩展，这提高了该组织可能正在试验新的恶意软件投递方法的可能性。 研究人员指出：”该扩展也可能是与Famous Chollima无关的另一行为者（甚至可能是研究人员）进行实验的结果，因为这与他们通常的战术、技术和程序不同。” 此消息披露之际，NTT Security Holdings分享了自2025年7月起与”传染性面试”活动相关部署的新恶意软件OtterCandy的详细信息，该恶意软件针对Windows、macOS和Linux系统。OtterCandy的一个早期样本于2025年2月上传到VirusTotal平台。 根据这家日本网络安全公司的说法，OtterCandy结合了OtterCookie和RATatouille的特性，后者是一种远程访问木马，曾通过2025年5月npm包”rand-user-agent”的供应链漏洞进行分发。这是首次将该攻击归因于朝鲜威胁行为体。 根据Aikido的说法，嵌入在npm包中的混淆有效载荷旨在与远程服务器建立隐秘通信通道，并渗出特定目录内的文件以及执行shell命令，后者仅针对Windows系统。 支持的完整命令列表如下： env：在整个文件系统中搜索秘密文件名。 imp：在home目录内搜索秘密文件名。 pat：在当前目录内搜索与预设模式匹配的文件名。 upload：将系统信息、浏览器密码、钱包文件以及来自Google Chrome和Edge的扩展数据传输到C2服务器。 exec：取消正在进行的扫描或上传、上传单个文件、递归上传目录内容、更改当前目录或终止恶意软件进程。 据称，OtterCandy通过一个被追踪为”ClickFake Interview”的子集群活动分发，该活动涉及用ClickFix风格诱饵欺骗用户运行恶意命令，以修复所谓的摄像头或麦克风问题。 “NTT Security表示：”OtterCandy是一个通过Node.js实现的RAT和信息窃取器。它是结合了RATatouille和OtterCookie元素的恶意软件。OtterCandy在通过Socket.IO连接到C2服务器时接受命令。” 用于投递OtterCandy的第一阶段恶意软件名为DiggingBeaver，这是一个JavaScript有效载荷，在受害者通过Windows”运行”对话框复制并运行命令后执行。DiggingBeaver也被发现分发其他已知的ClickFake Interview恶意软件，如GolangGhost和FROSTYFERRET。 NTT Security表示，还在2025年8月观察到OtterCandy的一个新变种，该变种扩展了功能，可以从三个额外的加密货币钱包扩展中收集数据，并增强了”ss_del”命令以删除Windows注册表项以及擦除文件和目录。   消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 经观察，一个与朝鲜有关联的威胁行为体，正利用 EtherHiding 技术传播恶意软件并实施加密货币盗窃。这是国家支持的黑客组织首次采用该方法。 谷歌威胁情报小组（GTIG）将这一活动归因为其追踪的威胁集群 UNC5342。该集群还拥有多个其他代号，不同机构对其命名分别为：帕洛阿尔托网络公司 Unit 42 称其为 CL-STA-0240，ESET 称其为 DeceptiveDevelopment，Securonix 称其为 DEV#POPPER，CrowdStrike 称其为 Famous Chollima，DTEX 称其为 Gwisin Gang，Datadog 称其为 Tenacious Pungsan，趋势科技则称其为 Void Dokkaebi。 此次攻击浪潮属于一个代号为 “传染性访谈”（Contagious Interview）的长期攻击活动。在该活动中，攻击者会在领英（LinkedIn）上伪装成招聘人员或招聘经理接触潜在目标，随后将对话转移到 Telegram 或 Discord 平台，再以 “职位评估” 为借口，诱骗目标运行恶意代码。 这些攻击行动的最终目标是非法访问开发者的设备、窃取敏感数据并盗取加密货币资产 —— 这与朝鲜同时追求网络间谍活动和经济利益的双重目标一致。 谷歌表示，自 2025 年 2 月以来，已观察到 UNC5342 使用 EtherHiding 技术。这是一种隐蔽手段，通过将恶意代码嵌入公共区块链（如币安智能链 BSC 或以太坊）的智能合约中实现攻击。通过这种操作，区块链被转化为一个 “去中心化秘密传输解析器”，能有效抵抗溯源打击。 此外，EtherHiding 技术还存在两大风险点：一是滥用区块链交易的伪匿名特性，增加追踪智能合约部署者的难度；二是灵活性极强，控制智能合约的攻击者可随时更新恶意载荷（平均需支付 1.37 美元的 Gas 费），从而衍生出多种威胁形式。 谷歌云旗下 Mandiant 公司咨询主管罗伯特・华莱士（Robert Wallace）在接受《黑客新闻》（The Hacker News）采访时发表声明称：“这一动态标志着威胁格局的升级。如今，国家层面的威胁行为体正采用新技术传播恶意软件，这类软件既能抵抗执法部门的溯源打击，又能轻松调整以适配新的攻击活动。” 社交工程攻击触发的感染链是一个多阶段流程，可针对 Windows、macOS 和 Linux 三大系统发起攻击，涉及三类不同的恶意软件家族，具体如下： 初始下载器：以 npm 包（Node.js 包管理器）的形式存在； BeaverTail：一种 JavaScript 窃取器，负责窃取敏感信息，包括加密货币钱包、浏览器扩展数据及各类凭证； JADESNOW：一种 JavaScript 下载器，与以太坊交互以获取 “InvisibleFerret”； InvisibleFerret：Python 后门的 JavaScript 变体，针对高价值目标部署，可实现对受感染主机的远程控制，同时通过攻击 MetaMask、Phantom 钱包及 1Password 等密码管理器中的凭证，实现长期数据窃取。 简言之，攻击流程为：诱骗受害者运行代码，执行初始 JavaScript 下载器；该下载器与恶意 BSC 智能合约交互，下载 JADESNOW；JADESNOW 随后查询某以太坊地址关联的交易记录，获取第三阶段载荷 —— 即 JavaScript 版本的 InvisibleFerret。 此外，该恶意软件还会尝试安装便携式 Python 解释器，以执行存储在另一以太坊地址中的额外凭证窃取组件。这一发现意义重大，因为威胁行为体在 EtherHiding 活动中同时使用了多个区块链。 谷歌指出：“EtherHiding 标志着网络攻击向‘下一代防弹托管’转变 —— 区块链技术的固有特性被滥用于恶意目的。这一技术也凸显了网络威胁的持续演变：攻击者不断适应并利用新技术为己所用。”   消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文