近年来,随着全球数字化进程的加速,自由职业软件开发者群体迅速壮大,成为互联网经济不可或缺的重要力量。与此同时,这一群体也逐渐成为网络犯罪特别是高级持续性威胁(APT)组织瞄准的重点目标。朝鲜黑客组织便利用伪装成招聘面试的手段,发起一系列针对自由开发者的网络攻击,企图通过恶意代码植入和信息窃取,实现其长期以来依赖的加密货币盗窃和资金筹集行动。该项活动代号为“DeceptiveDevelopment”,自2023年末首次被安全厂商发现,随后被确认隶属于臭名昭著的朝鲜黑客集团Lazarus。攻击者不仅依托社交媒体上虚假的招聘人员账号联络目标,还利用Github、GitLab和Bitbucket等代码托管平台,发布掺杂恶意代码的“招聘考核项目”,以此为诱饵吸引开发人员参与任务,从而感染其系统。该恶意代码库中主要包含两大恶意软件家族——BeaverTail和InvisibleFerret。
BeaverTail具备下载功能,分为基于JavaScript的网络版本以及伪装成会议软件的Qt原生版本,用于帮助InvisibleFerret隐蔽部署。InvisibleFerret是模块化Python恶意软件,具备强大信息窃取及后门功能。该恶意软件通过三个核心组件执行攻击操作,其中“pay”模块能够收集键盘输入、剪贴板内容,远程执行命令,并偷窃受害者本地文件和浏览器扩展数据。“bow”模块专注于窃取存储于Chromium浏览器中的登录凭证、自动填写信息及支付详情,而“adc”模块则安装远程桌面软件AnyDesk,确保攻击者对受害设备的长期控制。更复杂的是,攻击者还诱导目标下载含有恶意代码的视频会议软件,如MiroTalk或FreeConference,这些视频工具作为第二条攻击路径,绕过初期安全防护,向系统植入恶意程序。攻击行为覆盖范围广泛,全球各地从事加密货币及去中心化金融项目的软件开发者均成为潜在目标,特别是在芬兰、印度、意大利、巴基斯坦、西班牙、南非、俄罗斯、乌克兰和美国等地区。
攻击者并不在意地域限制,目标在于最大化受害者数量以提升盗窃成功率。安全研究团队指出,朝鲜黑客在代码开发中常见的粗劣制作习惯,如未删除的开发注释及本地测试IP地址的暴露,反映了其对于隐蔽性的漠视,目的仅为高效窃取资金与数据。历史数据显示,朝鲜黑客利用职位骗局作为网络攻击的惯用策略,其中“Operation Dream Job”长期以来便是其标志性活动之一。同时,有证据表明部分朝鲜黑客通过冒用身份申请海外IT职位获取稳定工资,用于支撑国家政权的资金需求。分析显示,攻击团队在多个GitHub账号间相互关注,部分账号用于发布恶意代码,另一些则管理虚假简历,这种交织关系揭示了朝鲜黑客组织统筹多条线索,策划复杂诈骗并隐蔽资金流向。总体来看,“DeceptiveDevelopment”体现出朝鲜黑客针对数字货币盗窃策略的进一步强化和升级。
攻击技术由初期的简陋工具晋升为更成熟、多模块恶意软件,攻击手法也趋于多样化和精准化,特别是在伪装招聘考核和使用私密代码仓库方面提高欺骗性。面对当前的威胁形势,软件开发者特别是自由职业者应保持高度警惕,切勿轻易接受陌生招聘方的邀请或下载未经验证的软件,建议建立多重身份验证机制,定期更新和审查本地及云端安全设置。此外,项目所在平台及社区应强化管理,严防恶意仓库及假冒账户传播漏洞。企业及个人均可通过密码管理器加密保护敏感信息,同时借助行为检测和网络流量分析工具,提早识别异常网络连接及数据泄露风险。针对加密货币领域开发者,使用硬件钱包以及离线存储重要密钥成为降低风险的有效措施。通过加强安全教育,提高对社会工程与网络诈骗的警觉意识,可有效降低被钓鱼攻击的可能性。
网络安全公司和执法机构需加强国际协作,共享情报,同时加大对犯罪集团相关在线资产和资金通道的追踪力度,从源头打击网络犯罪。综上,朝鲜黑客通过职位诈骗部署恶意软件的攻击,已成长为严峻网络安全隐患,对自由职业开发者和加密货币行业构成实质威胁。只有多方协作和持续提升防御能力,才能有效遏制此类APT组织的恶意扩散,保障软件生态系统的安全与稳定。
