網路安全研究人員近期揭露一起由北韓黑客組織Lazarus發起的新型網路攻擊活動。該活動偽裝成區塊鏈和加密貨幣交易領域的虛假公司,在LinkedIn、Facebook和Reddit等平台發布招聘資訊,誘騙JavaScript和Python開發者執行含有惡意依賴項的編碼測試項目,從而植入遠端訪問木馬,旨在竊取加密貨幣資產[citation:4]。
「Graphalgo」虛假招聘活動持續進行
自2025年5月起,一場代號為「Graphalgo」的虛假招聘活動持續進行。攻擊者創建了虛假的區塊鏈和加密貨幣交易公司,在主流社交和職業平台發布職位。應聘的開發者被要求執行、除錯和改進一個給定的項目代碼,以此展示技能[citation:4]。
然而,項目的依賴項中隱藏了惡意代碼。黑客在合法的npm和PyPI軟體包倉庫中上傳了192個惡意軟體包。這些軟體包偽裝成流行的庫(如graphlib),或使用「big」作為名稱前綴。當開發者按照指示運行項目時,便會自動下載並執行這些惡意依賴,從而植入RAT[citation:4]。
植入的RAT功能強大
被植入的RAT功能強大,能夠列出主機進程、執行C2伺服器下發的任意命令、竊取文件或投放額外載荷。它還會檢查受害者瀏覽器是否安裝了MetaMask加密貨幣擴展,明確指向竊取資金的目的[citation:4]。
其C2通信採用令牌保護,以阻擋未經授權觀察者[citation:4]。
攻擊歸因於北韓Lazarus組織
研究人員以中高置信度將此活動歸因於北韓的Lazarus組織。依據包括[citation:4]:
- 使用編碼測試作為感染媒介
- 專注於加密貨幣目標
- 惡意代碼延遲啟動的策略
- Git提交記錄顯示的GMT+9時區(與平壤時間一致)
受影響者應立即行動
研究人員建議,受影響的開發者應立即更換所有令牌和帳戶密碼,並考慮重裝作業系統[citation:4]。
小編提醒
這起事件再次提醒我們,在加密貨幣領域,攻擊手段日益多元且專業。求職時應注意:
- 對來路不明的招聘資訊保持警惕
- 確認公司真實性,不要輕易執行來路不明的代碼
- 在隔離環境中測試可疑項目
安全意識是最好的防護盾。