近年来,随着区块链和加密货币技术的迅猛发展,全球加密开发者成为网络攻击的高价值目标。近期,斯洛伐克知名网络安全公司ESET发布报告,详细揭露了一个与朝鲜相关的黑客组织 - - Contagious Interview,利用新型后门恶意程序AkdoorTea对全球加密开发者进行有针对性的攻击。这一系列网络攻击操作不仅体现了朝鲜黑客集团在技术手段上的不断进化,也揭示了其社会工程策略的复杂性和广泛性。Contagious Interview组织在多个操作系统平台上展开攻击,涵盖Windows、Linux和macOS,特别关注区块链及Web3项目的开发者。该组织同时关联多种知名恶意工具,例如TsunamiKit、Tropidoor以及此前被披露的BeaverTail和InvisibleFerret等,形成完整的攻击工具链。根据ESET研究员Peter Kálnai和Matěj Havránek的分析,Contagious Interview所使用的工具多为跨平台设计,最初的恶意脚本以Python和JavaScript为主,后续则包含Python和Go编写的基础后门,更有基于.NET框架的暗网项目工具,显示出其灵活多样的技术构架。
攻击手法上,这些黑客通过冒充招聘人员,在LinkedIn、Upwork、Freelancer及Crypto Jobs List等职业社交及自由职业平台发布虚假高薪职位,吸引目标开发者主动接触。一旦目标表现出兴趣,组织方便要求完成视频面试或编码测试。所谓的视频考核网站实际上会制造虚假摄像头或麦克风访问受阻的提示,诱导受害者按照指示在命令提示符或终端程序中执行一系列操作,实际上这是恶意程序传播的关键步骤。编码测试则涉及克隆GitHub上项目,这些项目内嵌恶意代码,目的是秘密植入后门程序。通过这两种方式,无论是视频测试还是代码测试,攻击者均能有效建立首次恶意软件的植入渠道。植入的恶意程序包括但不限于BeaverTail、InvisibleFerret、OtterCookie、GolangGhost(又名FlexibleFerret或WeaselStore)和PylangGhost等。
WeaselStore功能类似BeaverTail和InvisibleFerret,主要针对浏览器及加密钱包中的敏感数据进行窃取,区别在于其持续与其指挥控制服务器通信,具备远控木马(RAT)的能力,可以远程执行指令。作为攻击链核心之一的TsunamiKit首次被发现于2024年11月,它的设计专注于信息和加密货币窃取,包含初级加载程序TsunamiLoader,注入程序TsunamiInjector,以及安装器和增强持久化模块TsunamiInstaller和TsunamiHardener。TsunamiHardener不仅保障后门持久运行,还会配置微软Defender的排除项,避开杀软检测。TsunamiKit的主要组成模块TsunamiClient则为.NET间谍程序,载入后还会触发诸如XMRig和NBMiner等加密挖矿软件。研究表明,TsunamiKit很可能并非Contagious Interview原创工具,而是调整自暗网已有项目,相关样本至少追溯至2021年底,比该组织活动开始早近一年。BeaverTail后门不仅用于数据窃取,也充当另一恶意软件Tropidoor的载体。
根据ESET旗下亚洲安全响应中心的分析,Tropidoor与臭名昭著的朝鲜黑客组织Lazarus Group旗下LightlessCan工具存在代码重叠,功能包括配置更新、文件操作、屏幕截取、系统进程管理,以及伪装成系统命令执行如whoami、netstat等,提升隐蔽性。Tropidoor被评价为Contagious Interview迄今最复杂的载荷,显示出与更高级朝鲜黑客集团在技术上的关联。最新的恶意程序AkdoorTea,则以Windows批处理脚本形式出现。该脚本会下载名为"nvidiaRelease.zip"的压缩包,执行其中的Visual Basic脚本,这一脚本进而加载BeaverTail以及AkdoorTea本体。值得注意的是,Contagious Interview长期以来通过带有NVIDIA驱动主题的假冒更新文件,利用所谓ClickFix攻击手法传播恶意软件,借口"摄像头或麦克风故障"进行社会工程欺骗,增加感染概率。AkdoorTea与历史上的Akdoor恶意程序存在多处相似,这种恶意程序又被视为NukeSped(即Manuscrypt)变体,进一步佐证了该攻击与Lazarus集团之间复杂联系。
虽然技术层面可能不算十分先进,但Contagious Interview凭借广泛的运营规模和精妙的社会工程手段弥补不足。它们善于复用开源工具、暗网项目,甚至租用其他朝鲜关联组织的恶意软件,结合大量伪造求职诈骗,形成高效的攻击机制。事实上,此活动并非孤军作战。Contagious Interview与朝鲜的另一个已知诈骗行动WageMole(朝鲜假IT工人骗局)存在多重交织。据Zscaler网络情报,Contagious Interview收集到的情报被用于WageMole活动,用来盗用身份及制造虚假身份,帮助朝鲜伪装人员进入目标公司工作。这种跨活动联动显示朝鲜黑客在进行犯罪与间谍活动方面的系统化和产业化。
2025年初,网络安全公司Trellix披露了一起北朝鲜IT工人诈骗案例,目标是美国一家医疗机构,高级软件工程师职位的申请者"Kyle Lankford"在初筛阶段毫无异常。然而通过邮件关联到朝鲜黑客指标,进一步的沟通背景也显示该申请者高度疑似为朝鲜操作员。ESET评估,这类朝鲜假IT工人员工混合身份盗窃和合成身份欺诈,既是传统犯罪行为,也属于数字网络犯罪的混合威胁类型。面对如此复杂且多样化的攻击,全球加密开发者及相关企业必须提高警惕,强化自身安全防护意识。第一,要谨慎对待网络招聘信息,核实招聘单位资质,避免轻信视频测试和编程测试所附带的链接或软件。第二,建议加强安全监控及行为检测,尤其关注非正常安装行为和异常网络通信。
第三,全平台部署多层次安全策略,结合人为培训、技术升级和快速响应手段,遏制恶意程序入侵和扩散。此外,安全研究员及行业专家也需持续关注攻击者的新型工具和TTP(战术、技术及流程),共享威胁信息,推动行业安全共建。北朝鲜黑客组织的持续活跃及其多样化攻击战略不仅对区块链生态系统构成严重威胁,也对全球网络安全格局产生深远影响。面对这一日益严峻的安全挑战,唯有各方协同协作,构筑坚固防线,才能守护技术创新和信息安全的未来。 。
