近年来,随着Web3技术和加密货币业务的兴起,网络攻击手法也在不断升级和演变。朝鲜黑客集团利用其丰富的攻击经验和技术积累,针对Web3及相关行业展开了新一轮的网络攻击行动,尤其表现出高度隐蔽性和针对性的攻击特点。此类攻击主要借助Nim编程语言开发定制恶意软件,搭配多阶段的攻击流程,以及灵活的社会工程策略,协同实现对目标系统的渗透和信息窃取。朝鲜的网络威胁行为不仅对个人用户产生影响,更对金融、技术及安全领域带来严峻挑战。首先,值得关注的是朝鲜黑客在macOS平台上使用的NimDoor恶意软件。Nim作为一门较少为攻击者采用的编程语言,具备在编译期间执行函数的独特特性,使得生成的恶意代码在结构上更为复杂,难以被常规检测机制捕捉。
NimDoor通过进程注入技术和WebSocket加密通信,与远程命令与控制服务器(C2)保持持续交互,执行系统信息收集、远程命令执行及凭证窃取等功能。这种攻击不仅打破了此前macOS平台上恶意软件的常规模式,更采用了信号处理持久化机制,能在恶意进程被终止或系统重新启动时自动恢复,极大增强了攻击的韧性与隐秘性。攻击流程设计巧妙,最初通过Telegram等即时通讯平台与目标建立联系,使用Calendly进行“Zoom会议”日程安排,随后通过邮件伪造Zoom更新链接进行攻击载荷传递。用户一旦执行更新脚本,即触发恶意AppleScript下载和执行后续恶意程序,将感染链延伸至更深层次。接着,该恶意软件通过C++编写的加载器InjectWithDyldArm64启动和注入二进制代码,解密嵌入其中的核心组件,包括Target及trojan1_arm64两个模块。trojan1_arm64还具备下载额外恶意负载、收集多款主流浏览器和Telegram应用数据的能力,显著扩展了信息窃取的范围和深度。
此外,攻击者还利用基于Nim语言的CoreKitAgent组件监控恶意进程,确保其在用户手动终止时自动重启,并通过周期性AppleScript信标向C2服务器发送信息,进一步强化控制能力。与此同时,朝鲜黑客集团Kimsuky在BabyShark行动中持续推行ClickFix社会工程策略,意在通过复杂且层层递进的钓鱼邮件精准锁定目标用户。该策略伪装成合法访谈邀请、官方会面请求等背景,诱导用户打开恶意RAR归档包或PDF附件,陷入恶意宏代码执行陷阱。攻击初期,ClickFix利用Visual Basic Script在后台悄然建立持久化机制和信息收集渠道,同时通过Google Docs作为视觉诱饵,分散用户注意力。随后阶段,攻击者改良手法,要求用户复制粘贴身份验证代码以获取“安全文件”访问权限,进一步骗取信任并加深感染程度。此策略展现了威胁势力灵活调整攻击载体及诱饵内容的能力,持续欺骗各类国家安全专家及重要目标。
同时,ClickFix还通过伪造国防研究岗位招聘网站,诱骗访问者执行PowerShell命令,从而远程安装Chrome远程桌面软件,实现对受害系统的远程控制。攻击基础设施更暴露出漏洞,部分C2服务器目录泄露了受害文件以及关键日志信息,揭示出攻击活动的跨国数据流动和关联。最近,Kimsuky不仅依靠电邮钓鱼,还结合了高级文档攻击方式,借助密码保护的HWP格式文件及其嵌入的OLE对象激活复杂的PowerShell脚本,完成系统侦察及远程访问软件AnyDesk的悄然部署。这种混合使用脚本、开源工具(如Xeno RAT)并结合私有GitHub存储库的做法,显示出攻击集团对现代云基础设施利用的熟稔与创新。攻击者利用硬编码GitHub访问令牌,秘密上传及下载托管在私人仓库中的恶意软件与受害者数据,建立了一个高级且隐蔽的攻击生态。通过这种方式,Kimsuky集团不仅实现了对受害网络的长期渗透与信息窃取,还灵活利用公共云平台资源迷惑防御系统。
朝鲜的这些网络攻击活动在国内外均引起高度关注。安全厂商数据显示,Kimsuky与Konni这两个代表团体,合计占据了2025年5月中国网络空间高级持续性威胁活动的五个百分点,且不断引入新技术、新策略进行攻击,使其威胁态势持续升温。针对这一威胁,安全专家建议加强对macOS环境中Nim语言恶意代码的检测能力,提升邮件及社交媒体钓鱼防御技术,同时强化内部多因素认证机制以防止凭证泄露和远程访问扩散。企业尤其需关注多阶段多载体的联合攻击模式,对Zoom、Telegram、浏览器插件等潜在攻击载体保持高度警觉。网络安全防护正面临一场综合性升级挑战,从开发安全软件、完善用户培训到强化应急响应,每一环节都不可或缺。朝鲜黑客以其不断进化的攻击技术与精密周密的社会工程手段,拉开了针对Web3和传统IT平台多方向进攻的新序幕。
Web3行业的安全防御者需要紧跟其攻击技术脚步,建立更加全面的威胁情报共享机制与智能威胁检测体系。未来,面对源源不断涌现的高隐蔽性攻击,构筑跨平台、跨行业的整体安全防御链条,将成为保障数字资产与信息安全的关键所在。
