HackerNews 编译，转载请注明出处： 据Fortinet FortiGuard Labs观察，疑似与朝鲜民主主义人民共和国（DPRK）关联的威胁行为体正在利用GitHub作为命令控制（C2）基础设施，对韩国组织实施多阶段攻击。 攻击链以混淆的Windows快捷方式（LNK）文件为起点，投放诱饵PDF文档和PowerShell脚本，为下一阶段攻击做准备。据评估，这些LNK文件通过钓鱼邮件分发。...

"Contagious Interview"行动背后的朝鲜黑客组织（又称WaterPlum）被曝利用恶意Visual Studio Code项目传播新型恶意软件家族StoatWaffle。
自2025年12月起，该组织开始采用VS Code "tasks.json"配置分发恶意软件这一新战术。...

HackerNews 编译，转载请注明出处： Symantec 和 Carbon Black 威胁猎人团队的最新报告显示，与朝鲜相关的 Lazarus Group（又称 Diamond Sleet、Pompilus）在针对中东一家未具名机构的攻击中使用了 Medusa 勒索软件。 Broadcom 威胁情报部门表示，其还发现同一威胁行为者对美国一家医疗机构发起了攻击，但未成功。Medusa 是由网络犯罪组织 Spearwing 于 2023 年推出的勒索软件即服务（RaaS）项目。该组织迄今已宣称实施超过 366 起攻击。...

HackerNews 编译，转载请注明出处： 事件响应人员发布的新报告显示，朝鲜黑客针对一家加密货币公司的管理人员发起攻击，部署了多款独特恶意软件，并配合包括虚假 Zoom 会议在内的多种诈骗手段。 谷歌旗下的 Mandiant 发布了针对近期一起攻击事件的详细分析，该事件涉及朝鲜境内以牟利为目的的威胁组织 UNC1069，此次攻击因对受害者的高度定制化与针对性而尤为突出。...

朝鲜威胁行为体Konni近期被发现使用AI工具生成的PowerShell恶意软件，针对区块链领域的开发者和工程团队发起攻击。该钓鱼活动已瞄准日本、澳大利亚和印度用户。 根据Check Point研究团队报告，Konni的恶意活动已超越其常规攻击范围，显示出在亚太地区更广泛的攻击目标。该黑客组织通常攻击韩国、俄罗斯、乌克兰及欧洲的机构。 此次攻击主要针对具备区块链相关资源和基础设施专业知识或访问权限的软件开发人员及工程团队。Konni使用伪装成合法项目文档的诱饵内容，这些内容通常与区块链及加密货币项目相关。...

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文...

韩国最大加密货币交易所 Upbit 周三晚间遭黑客盗取价值 3000 万美元的加密货币，韩国政府官员正介入调查。 周五，韩国官员向该媒体透露，根据黑客入侵加密货币平台的攻击手段及被盗资金的洗钱方式，朝鲜 Lazarus 黑客组织大概率与此次盗窃事件有关。 调查人员认为，黑客先是冒充 Upbit 管理员身份，随后转移了约 3000 万美元的加密资产。...

发起 “传染性面试”（Contagious Interview）行动的朝鲜威胁行为者自上月以来，持续向 npm 代码仓库批量上传 197 个恶意包。 据网络安全公司 Socket 透露，这些恶意包的下载量已超 3.1 万次，其设计目的是分发 OtterCookie 恶意软件变体 —— 该变体整合了 BeaverTail 恶意软件与 OtterCookie 早期版本的核心功能。...

美国司法部周五宣布，五名涉案人员对协助朝鲜IT工作者实施欺诈的指控表示认罪。这些人员通过盗用美国公民身份，帮助朝鲜IT工作者获取在美国企业的工作机会，违反了国际制裁规定。 这五名人员包括奥德里库斯·法格纳赛、杰森·萨拉查、亚历山大·保罗·特拉维斯、奥列克桑德·迪登科和埃里克·恩特克雷兹·普林斯。其中法格纳赛、萨拉查和特拉维斯在2019年9月至2022年11月期间，明知故犯地允许境外IT工作者使用他们的美国身份入职美国公司。...

HackerNews 编译，转载请注明出处： 与朝鲜有关联的威胁行为者发起了新一轮攻击，目标是活跃于国防领域的欧洲企业。此次攻击是 “梦想工作行动”长期活动的一部分。 ESET 安全研究员彼得・卡尔奈和亚历克西斯・拉潘在一份分享给 The Hacker News 的报告中表示：“部分目标企业深度涉足无人机领域，这表明该行动可能与朝鲜当前扩大其无人机项目的努力有关。”...