朝鲜黑客通过空壳公司分发恶意软件​

与朝鲜关联的威胁行为组织“Contagious Interview”（传染性面试）在虚假招聘流程中设立了多家空壳公司，用于分发恶意软件。

网络安全公司Silent Push在深度分析中指出：“在此次新活动中，该威胁组织利用加密货币咨询行业的三家空壳公司——BlockNovas LLC（blocknovas[.]com）、Angeloper Agency（angeloper[.]com）和SoftGlide LLC（softglide[.]co）——通过‘面试诱饵’传播恶意软件。”

该活动被用于分发三种已知恶意软件家族：BeaverTail、InvisibleFerret和OtterCookie。

“Contagious Interview”是朝鲜策划的多起以招聘为主题的社会工程攻击之一。攻击者以编程任务或“解决视频面试时摄像头故障”为借口，诱导目标下载跨平台恶意软件。网络安全界追踪此活动的别名包括CL-STA-0240、DeceptiveDevelopment、DEV#POPPER、Famous Chollima、UNC5342和Void Dokkaebi。

此次攻击的升级体现在：

1. 空壳公司网络：BlockNovas声称有14名员工，但Silent Push发现其多数员工档案为伪造。通过Wayback Machine查看blocknovas[.]com的“关于我们”页面时，该公司自称“运营12年以上”，但实际注册时间仅1年。
2. 社交媒体伪装：攻击者在Facebook、LinkedIn、Pinterest、X、Medium、GitHub和GitLab创建虚假账户扩大传播。
3. 多阶段攻击链：

• BeaverTail：JavaScript窃取器/加载器，通过域名lianxinxiao[.]com建立C2通信，投递下一阶段载荷。
• InvisibleFerret：Python后门，支持Windows/Linux/macOS持久化，可窃取浏览器数据、文件并安装AnyDesk远程控制软件。
• OtterCookie：部分攻击链通过同一JS载荷分发。

基础设施细节：

1. BlockNovas子域名托管“状态仪表盘”，监控lianxinxiao[.]com、angeloperonline[.]online等域名。
2. 子域名mail.blocknovas[.]com运行开源密码破解系统Hashtopolis。
3. 域名attisscmo[.]com托管加密货币钱包工具Kryptoneer，支持Suiet Wallet、Ethos Wallet等连接。

时间线与影响：

1. 2024年9月：至少一名开发者的MetaMask钱包遭入侵。
2. 2024年12月：BlockNovas在LinkedIn发布针对乌克兰IT专家的高级软件工程师职位。
3. 2025年4月23日：FBI查封BlockNovas域名，指控其用于“虚假招聘及恶意软件分发”。

技术规避手段：

1. 使用Astrill VPN和住宅代理隐藏基础设施。
2. 利用AI工具Remaker生成虚假人物头像。
3. 通过俄罗斯IP段（位于哈桑和伯力）连接VPS服务器，操作招聘网站和加密货币服务。Trend Micro指出，这些地区与朝鲜存在地理和经济关联，推测朝俄可能存在基础设施共享。

双重动机：

1. 数据窃取：通过远程IT员工渗透企业（即Wagemole攻击）。
2. 资金转移：将薪资汇入朝鲜账户。Okta观察到攻击者使用生成式AI（GenAI）优化虚假身份创建、面试安排及实时语音/文本翻译。

行业警示：
企业需警惕加密货币行业招聘中要求“测试区块链项目”或“修复技术问题”的可疑任务，此类要求可能成为恶意软件投递的切入点。

消息来源： thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；