近年来,朝鲜黑客利用越来越复杂且隐蔽的技术手段展开网络攻击,尤其在虚拟货币领域的攻击活动引起全球安全界的广泛关注。近期曝光的“Contagious Interview”(蔓延面试)行动揭示了该类黑客如何通过伪造加密货币咨询公司,借助虚构的招聘面试诱饵散播恶意软件,造成众多重要基础设施和个人用户的安全威胁。这一事件无疑标志着朝鲜黑客网络攻击技术的一次显著升级,也暴露出未来网络安全防御所面临的巨大挑战。朝鲜黑客团体在此次行动中创设了多个前置公司,如BlockNovas LLC、Angeloper Agency和SoftGlide LLC,这些机构均自称专注于加密货币咨询,却实为伪装的网络钓鱼基地。通过这些公司的网站及其旗下的社交媒体假账号,他们在Facebook、LinkedIn、Pinterest、X、Medium、GitHub及GitLab等多个知名平台广泛布设虚假招聘信息,并以设定编程任务、要求解决浏览器摄像头问题等方式引诱目标下载恶意程序。这些行动形成了精心构造的社会工程陷阱,让中招者在不知情的情况下激活了隐藏在应聘过程中的恶意代码。
此次袭击期间主要传播的恶意软件家族包括BeaverTail、InvisibleFerret和OtterCookie。BeaverTail是基于JavaScript的窃密器和加载器,它通过接触外部服务器lianxinxiao.com,实现与攻击者的命令控制连接,进一步植入InvisibleFerret后门程序。后者是一款由Python编写的后门,能够在Windows、Linux和macOS多平台上实现持久化控制,不仅能窃取系统信息,还能开启远程反向Shell,替黑客下载更多窃密模块,甚至安装AnyDesk远程访问软件以强化控制能力。部分感染链条还利用与BeaverTail同源的JavaScript加载器派发了OtterCookie微软恶意软件,增加感染的多样性和隐匿性。与此同时,BlockNovas在面试过程中还利用视频评估环节推广其他恶意软件,如FROSTYFERRET和GolangGhost,这些都源自此前Sekoia安全团队揭露的ClickFake Interview行动,攻击者以修复浏览器或点击修复任务为诱饵,实则部署恶意程序抓取用户敏感信息。在攻击基础设施的构建上,攻击团体极具匠心。
BlockNovas的子域实现了“状态仪表盘”功能,用于监控其多个恶意域名的运行状况。同时,其邮件子域还运行着开源的分布式密码破解管理系统Hashtopolis,显示该组织在密码攻击上投入大量资源。据分析,恶意基础设施背后利用诸如Astrill VPN及住宅级代理等多重匿名技术,隐蔽流量和操作活动。更为惊人的是,攻击者运用了人工智能工具Remaker来生成逼真的虚假头像,辅助制造出高可信度的伪装身份,极大地提升了诱捕成功率。安全研究人员还发现,参与该行动的网络流量大量通过俄罗斯境内的IP地址发出,经过多层商业VPN、代理服务器及远程桌面协议(RDP)服务器的掩护。所使用的IP段归属于靠近朝韩边境的俄罗斯城市哈桑及文化经济关系紧密的哈巴罗夫斯克,有安全专家推测这背后可能存在朝鲜与俄罗斯某种形式的基础设施合作或资源共享。
除了“Contagious Interview”的面试钓鱼,另一个值得关注的策略是“Wagemole”虚假IT员工威胁。该策略打造大量AI生成的虚拟人物形象,协助朝鲜IT从业者获得国际远程工作职位,并通过将部分薪资返还给朝鲜实现资金链输送。相关工具还应用了生成式人工智能来高效管理多个虚拟求职身份,从申请、面试到雇佣,覆盖了流程各环节,包括实时翻译、对话摘要等,大大提高了欺诈行为的自动化及规模化程度。知名安全厂商Okta指出,依托生成式AI技术,这些行为主体能够有效规避传统招聘风控系统,实现对国际IT市场的隐秘渗透。利用这一系列复杂技术,网络犯罪者不仅能窃取敏感信息,还能劫持受害者的加密货币钱包。2024年9月,已有开发者遭遇以虚假招聘为诱饵的攻击,MetaMask钱包信息疑遭窃取。
攻击团队还托管了一款名为Kryptoneer的工具,可连接并操控Suiet Wallet、Ethos Wallet和Sui Wallet等多款加密钱包,这显示出他们极可能对Sui区块链生态体系感兴趣,或者将该工具作为“项目范例”用于招聘骗术中以增强可信度。美国联邦调查局(FBI)在2025年4月采取行动,查封了BlockNovas.com域名,基于该域名被用于散布恶意软件和虚假招聘信息的证据,执法部门对朝鲜网络犯罪团体的打击力度明显加大。综上所述,朝鲜黑客利用假冒加密企业与招聘骗局的手法,将传统网络钓鱼与高度自动化的人工智能工具相结合,打造了迄今为止极具技术水准和欺骗性的网络攻击模式。各行业尤其是加密货币领域、安全研究组织及IT管理者必需加强对应的网络安全意识和技术防范措施。监控招聘信息来源、验证公司合法性、谨慎对待形式复杂的面试邀请以及部署先进的恶意软件检测系统,都将是降低此类攻击风险的关键。同时,对于生成式人工智能技术的滥用现象也需保持警惕,推动相关法规和技术手段快速完善,遏制恶意AI行为扩散。
面对具备多国网络基础设施支持、频繁利用VPN和代理隐蔽身份的朝鲜黑客团伙,国际网络安全合作与执法联动愈加重要。唯有全球协同、持续创新防护体系,才能在新一代网络战场中有效遏制恶意势力,保障数字经济和公众个人数据安全。
