HackerNews 编译，转载请注明出处： 朝鲜威胁组织 ScarCruft 被发现使用一系列新型工具，其中包括一款利用 Zoho WorkDrive 进行命令与控制（C2）通信以下载更多载荷的后门，以及一款利用可移动介质转发命令、攻陷物理隔离网络的植入程序。 Zscaler ThreatLabz 将该攻击活动命名为 Ruby Jumper，其中部署了 RESTLEAF、SNAKEDROPPER、THUMBSBD、VIRUSTASK、FOOTWINE、BLUELIGHT 等多款恶意软件，用于对受害系统实施监控。该网络安全公司于 2025 年 12 月发现此次活动。 安全研究员 Seongsu Park 表示：“在 Ruby Jumper 攻击活动中，受害者打开恶意 LNK 文件后，该文件会执行 PowerShell 命令，并扫描当前目录，根据文件大小定位自身。” “随后，由 LNK 文件启动的 PowerShell 脚本从该 LNK 文件内的固定偏移量中提取多个内嵌载荷，包括诱饵文档、可执行载荷、额外 PowerShell 脚本和批处理文件。” 该活动使用的诱饵文档之一展示了一篇从朝鲜报纸翻译成阿拉伯语的关于巴以冲突的文章。 其余三个载荷均用于逐步将攻击推进至下一阶段：批处理脚本启动 PowerShell，PowerShell 负责解密并加载包含载荷的 shellcode。名为 RESTLEAF 的 Windows 可执行载荷在内存中运行，并使用 Zoho WorkDrive 作为 C2，这是该威胁组织首次在攻击活动中滥用该云存储服务。 RESTLEAF 通过有效访问令牌成功在 Zoho WorkDrive 基础架构中完成认证后，会下载 shellcode 并通过进程注入执行，最终部署 SNAKEDROPPER。SNAKEDROPPER 安装 Ruby 运行环境，通过计划任务实现持久化，并释放 THUMBSBD 和 VIRUSTASK。 THUMBSBD 伪装为 Ruby 文件，利用可移动介质在联网系统与物理隔离系统之间转发命令、传输数据。该恶意软件可收集系统信息、从远程服务器下载二级载荷、外传文件并执行任意命令。若检测到可移动介质，恶意软件会创建隐藏文件夹，用于存放攻击者下发的命令或存储执行结果。 THUMBSBD 投放的载荷之一是 FOOTWINE，这是一个内置 shellcode 加载器的加密载荷，具备键盘记录、音视频采集能力，用于实施监控。该恶意软件通过 TCP 使用自定义二进制协议与 C2 服务器通信。 该恶意软件支持的完整命令如下： ·     sm：交互式命令 Shell ·     fm：文件与目录操作 ·     gm：插件与配置管理 ·     rm：修改 Windows 注册表 ·     pm：枚举运行中的进程 ·     dm：截屏与键盘记录 ·     cm：音视频监控 ·     s_d：从 C2 服务器接收批处理脚本内容，保存至 % TEMP%\SSMMHH_DDMMYYYY.bat 并执行 ·     pxm：建立代理连接并双向转发流量 ·     [filepath]：加载指定 DLL THUMBSBD 还用于分发 BLUELIGHT，这是一款至少从 2021 年起就被归属于 ScarCruft 的后门。该恶意软件利用 Google Drive、Microsoft OneDrive、pCloud、BackBlaze 等合法云服务作为 C2，执行任意命令、枚举文件系统、下载额外载荷、上传文件并自删除。 VIRUSTASK 同样以 Ruby 文件形式释放，功能与 THUMBSBD 类似，作为可移动介质传播组件，将恶意软件扩散至未受感染的物理隔离系统。 Park 解释道：“与负责命令执行和数据外传的 THUMBSBD 不同，VIRUSTASK 专注于利用可移动介质实现对物理隔离系统的初始访问。” Park 表示：“Ruby Jumper 攻击活动采用多级感染链，以恶意 LNK 文件为起点，利用 Zoho WorkDrive、Google Drive、Microsoft OneDrive 等合法云服务部署新型独立 Ruby 执行环境。” “最关键的是，THUMBSBD 和 VIRUSTASK 利用可移动介质绕过网络隔离，感染物理隔离系统。”   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜相关信息技术人员目前正冒用他人真实 LinkedIn 账号申请远程岗位，标志着该欺诈计划出现新一轮升级。 安全联盟（SEAL）在社交平台 X 的多篇帖文中表示：“这些伪造账号通常带有认证工作邮箱与身份徽章，朝鲜特工希望借此让欺诈性求职申请显得真实合规。” 此类 IT 人员攻击是朝鲜长期运作的行动，特工使用被盗或伪造身份伪装成远程工作者，谋求入职西方及其他地区企业。 该威胁同样被广大网络安全社区以 Jasper Sleet、PurpleDelta 和 Wagemole 为代号进行追踪。此类行动的最终目的分为两方面：一是获取稳定收入来源为朝鲜武器计划提供资金，二是通过窃取敏感数据实施间谍活动，部分情况下还会进一步索要赎金以避免信息泄露。 上月，网络安全公司 Silent Push 将朝鲜远程人员计划称为该国政权的 “高流量收入引擎”，威胁行为者借此还能获取敏感代码库的管理员权限，并在企业基础设施中实现无文件持久化驻留。 区块链分析公司 Chainalysis 在 2025 年 10 月发布的报告中指出：“朝鲜 IT 人员在收到薪资后，会通过多种洗钱手法转移加密货币。” “这些 IT 人员及其洗钱同伙切断链上资金来源与去向关联的手段之一，是通过链间跳转和 / 或代币兑换。” 他们利用去中心化交易所、跨链桥协议等智能合约增加资金追踪难度。 为应对该威胁，建议怀疑身份被用于欺诈求职的个人在社交媒体账号发布警示声明，同时列明官方沟通渠道与身份验证方式（如公司邮箱）。 安全联盟表示：“务必验证求职者所列账号由其提供的邮箱实际控制。” “要求对方在 LinkedIn 与你建立联系这类简单核查，即可验证其对账号的所有权与控制权。” 该信息披露之际，挪威警察安全局（PST）发布公告称，过去一年已获悉 “多起” 挪威企业遭朝鲜 IT 人员欺诈计划影响的案件。 挪威警察安全局上周表示：“这些企业受骗雇佣了疑似朝鲜 IT 人员担任居家办公岗位。” “朝鲜相关人员通过此类岗位获得的薪资，大概率被用于资助该国武器及核武器计划。” 与 IT 人员计划同步推进的还有一项名为 “感染性面试” 的社会工程学攻击活动，攻击者在领英以招聘名义接触目标后，通过伪造招聘流程诱骗目标参与面试。 当伪装成招聘人员与招聘经理的攻击者要求目标完成技能评估并最终执行恶意代码时，攻击进入恶意阶段。 在一起模仿数字资产基础设施公司 Fireblocks 招聘流程、针对技术人员的招聘伪装攻击中，威胁行为者要求求职者克隆 GitHub 仓库并执行命令安装 npm 包，从而触发恶意程序运行。 安全研究员 Ori Hershko 表示：“该攻击还使用了 EtherHiding 新型技术，利用区块链智能合约托管与调取命令与控制基础设施，提升恶意载荷的抗查封能力。”“这些操作会触发隐藏在项目中的恶意代码执行。” 执行安装流程会导致恶意程序在受害者系统中下载并运行，为攻击者在目标设备中建立立足点。 据 Abstract Security 与 OpenSourceMalware 报告，近月监测到 “感染性面试” 攻击新变种利用恶意微软 VS Code 任务文件，执行伪装成网页字体的 JavaScript 恶意程序，最终部署 BeaverTail 与 InvisibleFerret 恶意软件，实现持久化访问并窃取加密货币钱包与浏览器凭据。 Panther 安全公司记录的该入侵活动另一变种，疑似通过恶意 npm 包，借助加载器部署名为 Koalemos 的模块化 JavaScript 远程访问木马（RAT）框架。 该远程访问木马会进入信标循环，从外部服务器获取任务并执行，发送加密响应，随机休眠一段时间后重复该流程。 它支持 12 种指令，可执行文件系统操作、文件传输、信息探测指令（如主机信息查询）及任意代码执行。 与该活动相关的部分程序包名称如下： ·     env-workflow-test ·     sra-test-test ·     sra-testing-test ·     vg-medallia-digital ·     vg-ccc-client ·     vg-dev-env 安全研究员 Alessandra Rizzo 表示：“初始加载器会先执行基于 DNS 的执行门控与活动日期验证，再下载并以独立进程启动远程访问木马模块。” Koalemos 会采集系统指纹，建立加密的命令与控制通信，并提供完整远程访问能力。 Labyrinth Chollima 分化为专业化作战单元 此次进展披露之际，CrowdStrike 证实活跃的朝鲜黑客组织 Labyrinth Chollima 已分化为三个目标与作战手法迥异的集群：核心Labyrinth Chollima、Golden Chollima（亦称 AppleJeus、Citrine Sleet、UNC4736）与Pressure Chollima（亦称 Jade Sleet、TraderTraitor、UNC4899）。 据 DTEX 评估，值得注意的是，Labyrinth Chollima 与安Andariel 、BlueNoroff 同属拉撒路集团（亦称 Diamond Sleet、Hidden Cobra）旗下子集群，其中 BlueNoroff 又分化出TraderTraitor 与 CryptoCore（亦称 Sapphire Sleet）。 尽管战术不断演进，这些攻击组织仍持续共享工具与基础设施，表明朝鲜网络作战机构内部存在集中协调与资源调配机制。Golden Chollima专注于在经济发达地区实施持续、小规模的加密货币窃取，Pressure Chollima 则通过高级植入程序针对大型数字资产持有机构实施高价值窃案。而Labyrinth Chollima 的行动以网络间谍活动为目的，借助 FudModule rootkit 等工具实现隐蔽作业。 该组织同样关联 “梦幻求职行动”，这是另一项以招聘为核心的社会工程学攻击，旨在投放恶意程序以搜集情报。 CrowdStrike 表示：“基础设施与工具的共享互通表明这些作战单元保持着紧密协同。” 三个攻击组织均使用高度相似的作战手法，包括供应链攻击、人力资源主题社会工程学、木马化合法软件以及恶意 Node.js 与 Python 程序包。     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全专家发现，与朝鲜有关的黑客组织正试图系统性地利用网络威胁情报（CTI）平台。这项调查由SentinelLabs和互联网情报公司Validin共同完成，并将该活动与被称为“传染性面试”（Contagious Interview）的黑客集群联系起来，该集群以通过带有恶意软件的招聘诱饵针对求职者而闻名。 报告显示，在2025年3月至6月期间，该组织试图访问Validin的基础设施情报门户网站。在Validin发布了一篇详细描述与Lazarus集团相关活动的博客文章后数小时内，黑客便注册了多个账户。他们使用了此前行动中关联过的Gmail邮箱地址，不过Validin迅速封锁了这些账户。尽管如此，黑客又使用了新注册的域名创建了新账户回来。 持续尝试与策略调整 这些威胁行为者表现出极强的持久性，在数月内反复创建账户并尝试登录。SentinelLabs有意允许其中一个账户保持活跃状态以观察其战术。调查人员发现了团队协作的证据，包括疑似使用Slack即时共享搜索结果。 黑客并未对其基础设施进行大规模更改以避免被发现，而是专注于部署新系统来替代被服务提供商关闭的旧系统。这一策略使得他们在即使被曝光后，仍能维持较高的受害者接触频率。 基础设施侦察与操作安全（OPSEC）失误 研究人员观察到，该组织使用Validin不仅是为了追踪自身被发现的迹象，还会在购买新基础设施之前对其进行侦察。他们对诸如skillquestions[.]com和hiringassessment[.]net等招聘主题域名的搜索表明，其正努力避免使用已被标记的资产。 然而，一些操作安全上的失误暴露了日志文件和目录结构，为了解其工作流程提供了罕见视角。 调查还揭示了“ContagiousDrop”应用——这些嵌入招聘网站的恶意软件交付系统。当受害者执行恶意命令时，这些应用会发送电子邮件警报，并记录姓名、电话号码和IP地址等详细信息。在2025年1月至3月期间，主要来自加密货币行业的230多人受到影响。 活动目标与更广泛的影响 根据SentinelLabs的说法，“传染性面试”活动主要服务于朝鲜获取收入的需求，通过社会工程学手段针对全球的加密货币专业人士。尽管该组织未采取系统性的措施来屏蔽其基础设施，但其韧性来自于快速的重新部署和持续的受害者获取。 SentinelLabs解释称：“鉴于其活动在接触目标方面持续成功，对威胁行为者而言，部署新基础设施可能比维护现有资产更务实、更高效。” 报告强调，求职者保持警惕仍然至关重要，尤其是在加密货币领域。基础设施提供商也扮演着关键角色，快速的查封能显著干扰这些操作。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场针对韩国政府及情报工作人员的大规模鱼叉式网络钓鱼活动，利用了一份国家情报通讯刊物来诱骗受害者。 网络安全公司Seqrite在8月29日发布的新报告中披露，APT37——一个被认为有朝鲜背景的国家级黑客组织——是此次大规模鱼叉式网络钓鱼活动的幕后黑手。 这项被称为“韩国幻影行动”（Operation HanKook Phantom）的行动包含两波活动，期间APT37武器化了一些能引起韩国政府官员和情报人员兴趣的文档。 以首尔情报为诱饵的鱼叉式钓鱼 第一波活动利用名为“国家情报研究学会通讯-第52期”（韩语：국가정보연구회 소식지 (52호)）的文档作为诱饵。 《国家情报研究学会通讯》是由韩国研究团体“国家情报研究协会”发布的月度或定期内部通讯刊物。它为会员提供最新及即将举办的研讨会、研究计划和组织发展的概述，并重点介绍有关国家安全、劳动力动态、当前地缘政治变化、技术进步（如人工智能）和韩朝关系的 ongoing 讨论。 根据Seqrite研究人员的说法，攻击者分发这份看起来合法的PDF文件的同时，还附带了一个恶意的LNK（Windows快捷方式）文件，该文件被命名为“国家情报研究学会通讯(52期).pdf.LNK”。 一旦LNK文件被执行，便会触发载荷下载或命令执行，使得攻击者能够入侵系统。其入侵链包含多种混淆恶意载荷和逃避检测的方法，包括内存执行、伪装诱饵和隐藏的数据渗出例程。 通过分析攻击链，Seqrite研究人员发现其最终载荷是RokRAT，这是一个通常作为编码后的二进制文件分发的后门程序，在利用武器化文档后由shellcode下载并解密。APT37在过去的攻击活动中也被观察到分发RokRAT。 此鱼叉式钓鱼活动的主要目标包括该通讯刊物的接收者，他们通常是以下一个或多个韩国机构的成员： 国家情报研究协会 光云大学 高丽大学 国家安全战略研究院 中央劳动经济研究所 能源安全与环境协会 救国精神振兴会 养志会（纪念会议主办方） 韩国整合战略 以朝鲜官方通讯为诱饵的鱼叉式钓鱼 第二波活动使用了朝鲜劳动党中央委员会副部长、朝鲜最高领导人金正恩的妹妹金与正于7月28日发表的声明作为诱饵。 Seqrite报告指出，根据平壤的朝鲜中央通讯社（KCNA）报道，该声明表明了朝鲜拒绝韩国任何和解努力的立场。研究人员称：“它强烈批评韩国改善朝韩关系的尝试，称其毫无意义或虚伪。”文件还提到，朝鲜断然拒绝未来与韩国的任何对话或合作，宣布结束和解努力，并将在未来采取敌对、基于对抗的立场。 此攻击链与第一波活动相似，从一个恶意的LNK文件开始，该文件在部署混淆组件（tony33.bat, tony32.dat, tony31.dat）到%TEMP%目录的同时，会释放一个诱饵文档。LNK文件会自行删除，随后批处理脚本触发无文件攻击：tony32.dat在内存中解码，用XOR解密（密钥0x37）tony31.dat，并通过API调用（VirtualAlloc+CreateThread）将其注入。 投放器通过伪造的HTTP请求从命令与控制（C2）服务器获取次要载荷（abs.tmp），通过PowerShell（-EncodedCommand）执行它并删除痕迹。同时，它通过在删除前通过伪装的POST请求（模仿PDF上传）来渗出%TEMP%文件，并使用合法系统工具（LOLBins）、内存执行和流量混合来逃避检测。 第二波活动的目标包括： 李在明政府（韩国政府内阁） 统一部 美韩军事同盟 亚太经合组织（APEC） APT37使用高度定制的鱼叉式钓鱼攻击 Seqrite将这两波结合的活动命名为“韩国幻影行动”（Operation HanKook Phantom），“HanKook”是一个通常用于指代韩国的韩语词，而“Phantom”（幻影）则代表了在整个感染链中使用的隐蔽且规避的技术。 APT37是一个网络间谍组织，拥有许多别名，包括InkySquid、ScarCruft、Reaper、Group123、RedEyes和Ricochet Chollima。该组织至少自2012年以来一直活跃，并被认为与朝鲜政权有关联。其主要焦点是韩国的公共和私营部门，近期的鱼叉式钓鱼活动涉及利用有关朝鲜士兵在乌克兰战争中帮助俄罗斯的文档作为诱饵。 2017年，APT37将其目标范围扩展到朝鲜半岛以外，包括日本、越南和中东，并瞄准了更广泛的行业领域，包括化工、电子、制造、航空航天、汽车和医疗保健组织。 Seqrite研究人员总结道：“对此次行动的分析凸显了APT37如何持续采用高度定制的鱼叉式钓鱼攻击，利用恶意的LNK加载器、无文件的PowerShell执行和隐蔽的渗出机制。”       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据Trellix研究人员报告，一场由国家支持的间谍活动正在针对驻韩国外交使馆展开。该行动通过恶意GitHub仓库分发XenoRAT恶意软件，自2025年3月持续至今，已发起至少19次针对高价值目标的鱼叉式钓鱼攻击。 基础设施和攻击手法与朝鲜黑客组织Kimsuky（APT43）的战术高度吻合。 多阶段攻击行动 攻击分为三个阶段，3月初至7月间使用不同主题的钓鱼邮件： 初始探测阶段（3月）：最早发现的邮件针对某中欧国家使馆。 外交主题阶段（5月）：攻击者转向复杂外交诱饵。例如5月13日冒充欧盟高级官员向某西欧使馆发送标题为“5月14日欧盟代表团政治咨询会议”的虚假会议邀请。 美韩军事联盟主题阶段（6-7月）：诱饵内容涉及美韩军事合作议题。 目标主要为驻首尔的欧洲使馆，钓鱼邮件伪装成会议邀请、官方信函及活动通知，常冒用外交官名义发送。这些诱饵具有高度场景化、多语种（含韩语、英语、波斯语、阿拉伯语、法语和俄语）的特点，且多数邮件时间点与真实事件吻合以增强可信度。 统一投放手法 所有阶段均采用相同投递方式：通过Dropbox、Google Drive或Daum云存储发送受密码保护的ZIP压缩文件（降低邮件防护系统警报概率）。压缩包内含伪装成PDF的LNK文件，触发后会执行经过混淆的PowerShell代码，从GitHub或Dropbox获取XenoRAT有效载荷，并通过计划任务实现持久化驻留。 XenoRAT作为功能强大的木马，可执行键盘记录、屏幕截图、摄像头与麦克风窃取、文件传输及远程Shell操作。该恶意软件通过反射机制直接加载至内存，并采用Confuser Core 1.6.0进行混淆，实现在受感染系统中的隐蔽运行。 Trellix强调此次攻击符合APT43特征并采用典型朝鲜黑客技术，支持依据包括： 使用韩国本土邮件服务 滥用GitHub作命令控制服务器 采用与Kimsuky恶意软件家族一致的独特GUID和互斥量 关联IP及域名历史记录与Kimsuky活动重叠       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜国家支持的黑客组织Kimsuky据称遭遇数据泄露。两名自称“秉持与Kimsuky相反价值观”的黑客窃取该组织数据后公开泄露。这两名化名“Saber”和“cyb0rg”的黑客表示行动出于伦理考量，指责Kimsuky“为错误目的而入侵”，称其行为受政治议程驱使且遵循政权指令，而非独立实践黑客精神。 黑客在拉斯维加斯DEF CON 33大会发布的《Phrack》杂志（第72期）中声明：“Kimsuky，你们不是真正的黑客。你们被金钱贪婪驱使，只为充实领导阶层并实现其政治议程。你们窃取他人成果并偏袒自身，凌驾于他人之上：这是道德败坏。”黑客公开了Kimsuky部分后台数据，暴露其攻击工具及窃取信息，可能揭示未知攻击行动和未公开的入侵事件。 目前托管于“分布式拒绝保密”（DDoSecrets）网站的8.9GB泄露数据包含以下内容： 针对韩国国防反情报司令部（dcc.mil.kr）邮箱账户的钓鱼攻击日志 其他攻击目标域名：spo.go.kr、korea.kr、daum.net、kakao.com、naver.com 含韩国外交部电子邮件平台“Kebi”完整源代码的.7z压缩包（含webmail、admin及archive模块） 涉及韩国公民数字证书及大学教授精选名单的参考信息 用于构建钓鱼网站的PHP“生成器”工具包（含检测规避和重定向技巧） 活跃钓鱼攻击套件 未知二进制档案（voS9AyMZ.tar.gz、Black.x64.tar.gz）及可执行文件（payload.bin、payload_test.bin、s.x64.bin），相关文件在VirusTotal无风险标记 VMware拖拽缓存区发现的Cobalt Strike加载器、反向Shell及Onnara代理模块 Chrome历史记录及配置：链接至可疑GitHub账户（wwh1004.github.io等）、通过Google Pay购买的VPN服务（PureVPN、ZoogVPN）、频繁访问的黑客论坛（freebuf.com、xaker.ru） 使用谷歌翻译处理中文错误信息及访问台湾政府军事网站记录 含内部系统SSH连接的Bash历史记录 黑客指出部分数据此前已被披露或部分记录，但此次泄露以全新维度呈现数据，并揭示Kimsuky工具与活动间的内在关联，有效“曝光并摧毁”该APT组织的基础设施与方法。此次泄露虽可能不会对Kimsuky运作产生长期影响，但或导致其面临操作困难及现有攻击活动中断。《Phrack》第72期目前仅提供限量实体版，网络版将于数日内通过官网免费开放。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜政府支持的黑客组织ScarCruft（又称APT37）在近期攻击中首次部署了勒索软件。该组织长期以高价值个人和政府机构为网络间谍目标，但韩国安全公司S2W周四报告称，其在此次行动中使用了“新发现的”勒索软件。 研究人员将该勒索软件命名为VCD（取自其对加密文件添加的扩展名）。其会生成英文和韩文两个版本的勒索通知。S2W指出，ScarCruft使用勒索软件的行为“暗示其可能转向经济利益驱动的行动，或拓展了包含破坏性及勒索策略的运营目标”。 ScarCruft过往主要攻击韩国、日本、越南、俄罗斯和尼泊尔的目标。在7月针对韩国用户的攻击中，黑客通过鱼叉邮件投递恶意压缩包入侵系统。诱饵文件显示关于街道地址变更导致的邮政编码更新信息（报告未明确邮件接收者身份）。 研究人员在此次攻击中识别出超过9类恶意软件，包括信息窃取工具LightPeek、FadeStealer，以及利用合法实时通讯平台PubNub进行命令控制（C2）的后门程序NubSpy。ScarCruft通过PubNub将恶意流量伪装成正常网络通信以隐藏行踪。 该行动被归因于ScarCruft下属小组ChinopuNK（该小组曾传播可窃取系统信息并支持Windows/Android双平台攻击的Chinotto恶意软件）。本次攻击中黑客使用了名为ChillyChino的新变种。 研究人员基于两点证据高度确认攻击由ScarCruft发起：一是使用PubNub进行C2通信；二是部署了FadeStealer（该组织自2023年起使用的恶意软件，可录制音频、记录击键并收集外接设备数据）。 据信隶属于朝鲜国家安全部的ScarCruft是该国最活跃的黑客单位之一，以社会工程学手段诱骗受害者打开恶意文件著称。今年5月，该组织曾伪装成朝鲜问题专家及智库发送钓鱼邮件。去年还针对媒体和知名学者以“收集战略情报”，据称这些情报能“影响朝鲜决策流程”。 尽管勒索软件的部署对ScarCruft整体战略意图尚不明确，但朝鲜政府关联黑客常参与经济利益驱动的攻击，为受制裁政权筹集资金。联合国去年报告显示，其正调查近60起由朝鲜黑客（包括Kimsuky、Lazarus、Andariel和BlueNoroff等组织）实施的网络攻击，这些攻击在六年内窃取约30亿美元资金。联合国专家强调：“这些网络威胁行为体的核心任务是为朝鲜获取有价值信息并非法创收。”       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜有关的威胁组织UNC4899被指通过LinkedIn和Telegram接触两家不同企业的员工实施攻击。谷歌云部门在《2025年下半年云威胁地平线报告》[PDF]中表示：“UNC4899以软件开发的自由职业机会为幌子，利用社会工程技术成功说服目标员工在其工作站执行恶意Docker容器。” UNC4899与Jade Sleet、PUKCHONG、Slow Pisces及TraderTraitor等组织存在活动重叠。该国家级攻击组织自2020年起活跃，以针对加密货币和区块链行业著称，涉及多起重大加密货币盗窃案，包括2022年3月Axie Infinity（6.25亿美元）、2024年5月DMM Bitcoin（3.08亿美元）以及2025年2月Bybit（14亿美元）的黑客事件。 其攻击手段还包括利用JumpCloud基础设施攻击加密货币领域下游客户。据DTEX称，TraderTraitor隶属于朝鲜侦察总局第三局，在加密货币盗窃方面是平壤黑客组织中最高效的团体。该组织常以工作邀约为诱饵或上传恶意npm软件包，通过高薪合作机会或GitHub项目协作邀请目标企业员工，诱导其执行恶意npm库。 云安全公司Wiz本周报告强调：“TraderTraitor持续关注云平台及周边攻击面，最终目标通常是云平台客户而非平台本身。”谷歌观察到的攻击针对企业的谷歌云和AWS环境：攻击者首先部署GLASSCANNON下载器，进而植入PLOTTWIST和MAZEWIRE后门以连接攻击者控制服务器。 在谷歌云攻击案例中，攻击者使用窃取的凭证通过谷歌云CLI匿名VPN远程操作，进行大规模侦察和凭证窃取，但因受害者启用多因素认证（MFA）受阻。谷歌指出：“UNC4899发现受害者账户拥有谷歌云项目管理权限后，直接禁用MFA要求。成功访问目标资源后，他们立即重新启用MFA以规避检测。” 针对AWS受害者的入侵采用类似手法，攻击者通过AWS凭证文件获取长期访问密钥远程操作AWS CLI。尽管遭遇访问控制限制，谷歌发现攻击者可能窃取了用户会话cookie，借此识别相关CloudFront配置和S3存储桶。“利用其访问权限固有的管理权限，攻击者将含恶意代码的JavaScript文件上传替换原有文件，旨在操纵加密货币功能并触发与目标组织加密货币钱包的交易。”最终两起攻击均成功窃取价值数百万美元的加密货币。 同期，Sonatype公司表示2025年1月至7月已拦截234个朝鲜Lazarus组织发布的恶意npm和PyPI软件包。部分软件包会投放已知凭证窃取程序BeaverTail（与长期活动Contagious Interview相关）。该软件供应链安全公司指出：“这些软件包伪装成流行开发工具，实则为间谍植入程序，用于窃取机密、分析主机并在关键基础设施建立持久后门。2025年上半年活动激增表明Lazarus战略转向：正以惊人速度将恶意软件直接嵌入npm和PyPI等开源软件包注册平台。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与 “Contagious Interview” 活动相关的朝鲜威胁行为者，近期在 npm 注册表中又发布了 67 个恶意软件包。这凸显了他们持续通过软件供应链攻击，对开源生态系统进行破坏的企图。 据 Socket 透露，这些恶意包的下载量已超过 17000 次，其中包含一个此前未被记录的恶意软件加载器，代号为 XORIndex。此次活动是上个月攻击浪潮的扩展，当时攻击者已分发了 35 个 npm 包，这些包中部署了另一个名为 HexEval 的加载器。 “Contagious Interview” 行动呈现出一种 “打地鼠” 式的动态：防御者检测并上报恶意包后，朝鲜威胁行为者会迅速上传新的变种，采用相同、类似或稍作改进的策略。 “Contagious Interview” 是一项长期活动，其目的是诱骗开发者下载并执行某个开源项目，谎称这是一项编码任务。该威胁集群于 2023 年底首次公开披露，也被追踪为 DeceptiveDevelopment、Famous Chollima、Gwisin Gang、Tenacious Pungsan、UNC5342 和 Void Dokkaebi。 利用恶意 npm 包的攻击链相当直接：这些包充当已知的 JavaScript 加载器兼窃取器 BeaverTail 的传播渠道。BeaverTail 随后被用于从网页浏览器和加密货币钱包中提取数据，还会部署一个名为 InvisibleFerret 的 Python 后门。 这两个攻击活动目前并行开展。XORIndex 在短时间内（2025 年 6 月至 7 月）的下载量已超过 9000 次，而 HexEval 则稳步推进，新发现的相关包又获得了超过 8000 次下载。 对这些包的进一步分析显示，加载器在不断演变，从基础原型发展为复杂且更隐蔽的恶意软件。早期版本缺乏混淆和侦察能力，但核心功能保持完好；第二、三代版本则增加了基本的系统侦察功能。 “Contagious Interview” 的威胁行为者将继续丰富其恶意软件组合，轮换新的 npm 维护者别名，重用 HexEval 加载器以及 BeaverTail、InvisibleFerret 等恶意软件家族，并积极部署包括 XORIndex 加载器在内的新变种。 与此同时，Safety 披露，与俄罗斯有关联的网络犯罪分子发布了 10 个 npm 包，这些包旨在通过从远程服务器获取的 PowerShell 有效载荷入侵 Windows 系统，进而交付一种能够从网页浏览器窃取数据、且可能启动加密货币挖矿程序的窃取器。 更令人担忧的是，他们还操纵 npm 的下载量指标，让这些包看似有百万次下载，为其恶意代码赋予虚假的合法性。         消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 朝鲜黑客正将矛头对准加密货币与区块链行业的求职者，通过感染应聘者设备实施数据窃取。思科Talos研究人员发现，一个名为“千里马”（Famous Chollima）的朝鲜黑客组织自2024年中起，针对印度等地的少量目标人群发起定向攻击。 该组织伪造知名企业身份，诱使真实的软件工程师、营销人员及设计师等应聘者访问技能测试页面。思科Talos在6月18日的报告中指出：“从发布的职位信息可明确看出，千里马组织广泛锁定具有加密货币和区块链技术经验的人群。其技能测试网站伪装成Coinbase、Archblock、Robinhood等真实企业，以此精准定位目标人群。” 受害者会收到测试网站的邀请码，需填写个人信息并完成技能测试。随后，应聘者被要求录制视频面试。当用户授权网站使用摄像头时，页面会显示“安装视频驱动程序”的指令，诱导其复制粘贴恶意代码到终端。思科Talos将这种策略称为“点击修复”（ClickFix）——通过虚构系统错误提示，利用人类解决问题的本能心理，诱骗目标执行最终导致恶意软件下载的命令。 黑客为MacOS和Windows系统开发了专属恶意软件“PylangGhost”，可窃取多种浏览器扩展程序存储的凭证、会话cookie等关键数据。该恶意软件具有模块化结构，通过RC4加密通信连接命令控制服务器，支持远程系统操控及文件窃取。 “千里马”等组织深度参与朝鲜向欧美科技公司渗透公民的计划：既通过合法薪资赚取外汇，又借助对区块链企业的渗透实施加密货币盗窃。美国执法部门估算，此类行动为朝鲜军方创收数十亿美元。本次攻击活动还暴露出朝鲜更深层的意图：窃取加密货币领域成功求职者的属性信息，为其公民伪造身份应聘提供参考；同时预先感染可能入职合法企业的开发者设备，为后续攻击埋下伏笔。 去年12月，加密货币平台Radiant Capital遭遇的5000万美元劫案正是类似手法的重演：黑客冒充公司前承包商，向工程师发送暗藏恶意软件INLETDRIFT的PDF文件，该后门专门针对macOS设备。自2023年以来，安全专家持续警告使用MacBook的加密货币从业者是朝鲜黑客的首要目标。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文