近期报告指出,朝鲜黑客组织正在针对 Web3 领域实施多起恶意软件攻击活动,并通过虚假的工作诱饵来实现其目的。根据 The Hacker News 的报道,开发人员遭遇了相应的网络入侵,黑客利用 LinkedIn 进行攻击,发送伪装成 Python 编程挑战的 ZIP 文件,实际上其中隐藏的是新型的 COVERTCATCH 恶意软件。Google Cloud 的 Mandiant 分析指出,COVERTCATCH 通过一个二阶段的有效载荷实现对 macOS 系统的入侵,该有效载荷使用 Launch Daemons 和 Launch Agents 确保持续存在。
另一个社交工程策略包含伪装成金融与运营副总裁职位描述的 PDF 文件,该职位位于一家大型加密货币交易所。此类策略使得 RUSTBUCKET 脚本得以被传播,从而能够窃取系统信息并执行恶意文件。Mandiant 表示:“一旦通过恶意软件建立了立足点,攻击者会转向密码管理器,盗取凭证,通过代码仓库和文档进行内部侦查,并进入云托管环境,以揭示热钱包密钥,最终盗取资金。”
纳米云节点小火箭项目描述威胁来源朝鲜黑客组织目标领域Web3恶意软件COVERTCATCH 和 RUSTBUCKET攻击方法利用 LinkedIn 和假文件传播恶意软件主要风险密码盗窃、内部侦查、资金泄露通过不断变化的攻击手法,朝鲜黑客组织显示出其高超的社交工程技巧和针对性的网络攻击能力。对于软件开发人员以及从事相关行业的专业人士而言,保持警惕并提高自身的安全防护意识至关重要,以防止类似攻击的成功。
