与朝鲜关联的Lazarus Group被指为针对寻找Web3和加密货币领域自由职业的软件开发者发起新一轮网络攻击行动——“Operation 99”,旨在传播恶意软件。
SecurityScorecard公司威胁研究与情报高级副总裁Ryan Sherstobitoff在今日发布的一份新报告中指出:“该行动始于假扮成招聘人员在领英等平台发布信息,以项目测试和代码审查为诱饵吸引开发者。”
“一旦受害者上钩,他们就会被引导克隆一个看似无害实则暗藏危机的恶意GitLab仓库。克隆的代码会连接到命令与控制(C2)服务器,从而将恶意软件植入受害者环境。”
该行动受害者遍布全球,其中意大利受害者最为集中。阿根廷、巴西、埃及、法国、德国、印度、印度尼西亚、墨西哥、巴基斯坦、菲律宾、英国和美国等地也有少量受害者。
该网络安全公司表示,其于2025年1月9日发现的这一行动建立在Lazarus Group此前攻击中使用的以工作为主题的战术基础上,如“Operation Dream Job”(又称NukeSped),此次行动特别针对Web3和加密货币领域的开发者。
“Operation 99”的独特之处在于,它通过一个精心设计的招聘计划诱骗开发者参与编码项目,该计划涉及制作虚假的领英账号,然后将开发者引导至恶意GitLab仓库。
攻击的最终目的是部署数据窃取植入程序,从开发环境中提取源代码、密钥、加密货币钱包密钥和其他敏感数据。
这些程序包括Main5346及其变体Main99,它们作为另外三个有效载荷的下载器——
- Payload99/73(及其功能相似的Payload5346),用于收集系统数据(如文件和剪贴板内容)、终止网页浏览器进程、执行任意操作并建立与C2服务器的持久连接;
- Brow99/73,用于从网页浏览器中窃取数据,以促进凭据盗窃;
- MCLIP,用于实时监控和窃取键盘和剪贴板活动。
该公司表示:“通过攻击开发者账户,攻击者不仅窃取知识产权,还能访问加密货币钱包,从而实现直接财务盗窃。针对私钥和密钥的定向盗窃可能导致数百万数字资产被盗,进而推动Lazarus Group的财务目标。”
该恶意软件架构采用模块化设计,灵活且适用于Windows、macOS和Linux操作系统。这也凸显了国家网络威胁不断演变和适应的本质。
“对于朝鲜而言,黑客攻击是创造收入的生命线,”Sherstobitoff表示,“Lazarus Group持续将窃取的加密货币用于支持该政权的野心,积累了惊人的资金。随着Web3和加密货币行业的蓬勃发展,‘Operation 99’行动聚焦于这些高增长领域。”
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容