HackerNews

HackerNews
朝鲜黑客利用 ClickFix 投放 BeaverTail 恶意软件

朝鲜黑客利用 ClickFix 投放 BeaverTail 恶意软件

作者: hackernews 日期: 2025-09-22 分类: 国际动态
给文章评分:

HackerNews 编译,转载请注明出处:

经观察,与朝鲜民主主义人民共和国(简称 DPRK 或朝鲜)有关联的威胁行为者,正利用 ClickFix 类诱饵投放两款已知恶意软件 ——BeaverTail 与 InvisibleFerret

根据GitLab 威胁情报研究员奥利弗・史密斯在上周发布的一份报告中表示:“该威胁行为者利用 ClickFix 诱饵,将目标锁定在加密货币和零售行业机构中的市场营销及交易岗位人员,而非软件开发岗位人员。

2023年末,BeaverTail 与 InvisibleFerret 由帕洛阿尔托网络公司(Palo Alto Networks)首次曝光,朝鲜特工人员将其作为 “传染性面试”(又称 “鬼魅团伙”,Gwisin Gang)长期攻击行动的一部分投放。在该行动中,恶意软件以求职评估为借口分发给软件开发人员。据评估,实施该行动的团伙是 “ Lazarus” 伞形组织的分支,至少自 2022 年 12 月起便开始活跃。多年来,BeaverTail 还通过伪造的 npm 包以及虚假的 Windows 视频会议应用(如 FCCCall 和 FreeConference)进行传播。这款用 JavaScript 编写的恶意软件兼具 “信息窃取器” 与 “下载器” 功能,可下载一款基于 Python 的后门程序 InvisibleFerret。

该攻击行动的一个重要演变,是采用 ClickFix 社会工程学策略投放多种恶意软件,包括 GolangGhost、PylangGhost 和 FlexibleFerret—— 这类活动分支被标记为 “ClickFake 面试”。

2025 年 5 月末观察到的最新一波攻击值得关注,原因有二:一是首次通过 ClickFix 投放 BeaverTail(此前投放的是 GolangGhost 或 FlexibleFerret);二是该窃取器以编译二进制文件的形式投放,借助 pkg、PyInstaller 等工具生成,适配 Windows、macOS 和 Linux 系统。

攻击方利用 Vercel 搭建了一个虚假招聘平台网页应用,将其作为恶意软件的分发载体。他们在平台上为多家 Web3 机构招聘加密货币交易员、销售及市场营销人员,同时诱导目标人群投资某家 Web3 公司。史密斯指出:“以往 BeaverTail 的分发者主要针对软件开发人员和加密货币行业,而此次威胁行为者将目标转向市场营销岗位求职者,并冒充零售行业机构,这一点值得关注。”用户访问该虚假网站后,其公网 IP 地址会被捕获,同时被要求完成一段个人视频评估。在此过程中,网站会显示一条虚假的技术错误提示,声称存在 “麦克风未检测到” 问题,并要求用户执行一条与操作系统对应的命令以 “解决该问题”—— 而这一操作实际上会通过 Shell 脚本或 Visual Basic 脚本,部署一个精简版的 BeaverTail 恶意软件。

GitLab 方面表示:“与此次攻击行动相关的 BeaverTail 变种,其信息窃取流程经过简化,针对的浏览器扩展数量也有所减少。该变种仅针对 8 款浏览器扩展,而当前其他 BeaverTail 变种针对的扩展数量为 22 款。”另一处重要改动是,该变种移除了从谷歌浏览器(Google Chrome)以外的其他浏览器窃取数据的功能

研究人员还发现,Windows 版本的 BeaverTail 会依赖一个与恶意软件一同分发的加密压缩包(受密码保护),来加载与 InvisibleFerret 相关的 Python 依赖组件。尽管受密码保护的压缩包是各类威胁行为者长期以来广泛使用的常见技术,但这是该方法首次被用于 BeaverTail 的有效载荷投放,这表明威胁行为者正在积极优化其攻击链条。此外,野外环境中相关次要攻击组件的传播率较低,且社会工程学手段缺乏精巧性,这些迹象表明该攻击行动可能只是一次有限的测试,不太可能进行大规模部署。

根据森蒂内尔一号(SentinelOne)、森蒂内尔实验室(SentinelLabs)与 Validin 联合开展的调查显示,2025 年 1 月至 3 月期间,“传染性面试” 行动通过冒充 Archblock、罗宾汉(Robinhood)、eToro 等公司,在虚假加密货币求职面试攻击中已锁定至少 230 名目标人员。该行动的核心模式是,利用 ClickFix 相关主题分发名为 “ContagiousDrop” 的恶意 Node.js 应用,这些应用旨在投放伪装成 “更新程序” 或 “必备工具” 的恶意软件。其有效载荷会根据受害者的操作系统和系统架构进行定制,还能够记录受害者的操作活动,并在受影响人员启动虚假技能评估时触发邮件警报。

这些机构指出:“此次活动中,威胁行为者还对与其基础设施相关的网络威胁情报(CTI)信息进行了探查。” 他们补充称,攻击者会协同评估待采购的新基础设施,并通过 Validin、VirusTotal 和 Maltrail 等平台,监控其活动是否被发现的迹象。通过此类行动收集的信息,旨在提升其攻击行动的韧性和有效性,同时在服务提供商查封其基础设施后快速部署新的替代设施。这一现象表明,该团伙更倾向于投入资源维持运营,而非对现有基础设施进行大规模安全改进。

研究人员表示:“鉴于其攻击行动在锁定目标方面持续取得成功,对威胁行为者而言,部署新基础设施可能比维护现有资产更务实、更高效。潜在的内部因素,如分散式指挥架构或运营资源限制,可能使其难以快速实施协同性的(基础设施)改进。”“他们的运营策略似乎优先考虑:在服务提供商查封其基础设施后,通过快速替换这些资产,并利用新部署的基础设施维持活动。

 

消息来源:thehackernews

本文由 HackerNews.cc 翻译整理,封面来源于网络;

转载请注明“转自 HackerNews.cc”并附上原文