【安全资讯】朝鲜黑客组织Lazarus利用虚假招聘传播恶意软件，针对加密货币开发者

概要：

网络安全研究人员近期揭露了一起由朝鲜黑客组织Lazarus发起的新型网络攻击活动。该活动伪装成区块链和加密货币交易领域的虚假公司，在LinkedIn、Facebook和Reddit等平台发布招聘信息，诱骗JavaScript和Python开发者执行含有恶意依赖项的编码测试项目，从而在其系统中植入远程访问木马（RAT），旨在窃取加密货币资产。

主要内容：

自2025年5月起，一场代号为“Graphalgo”的虚假招聘活动持续进行。攻击者创建了虚假的区块链和加密货币交易公司，并在主流社交和职业平台发布职位。应聘的开发者被要求运行、调试和改进一个给定的项目代码，以此展示技能。然而，项目的依赖项中隐藏了恶意代码。

攻击的核心技术在于供应链污染。黑客在合法的npm和PyPI软件包仓库中上传了192个恶意软件包。这些软件包伪装成流行的库（如graphlib），或使用“big”作为名称前缀。当开发者按照指示运行项目时，便会自动下载并执行这些恶意依赖，从而在系统中植入RAT。

植入的RAT功能强大，能够列出主机进程、执行C2服务器下发的任意命令、窃取文件或投放额外载荷。它还会检查受害者浏览器是否安装了MetaMask加密货币扩展，明确指向窃取资金的目的。其C2通信采用令牌保护，以阻挡未授权观察者。

研究人员以中高置信度将此活动归因于朝鲜的Lazarus组织。依据包括：使用编码测试作为感染媒介、专注于加密货币目标、恶意代码延迟激活的策略，以及Git提交记录显示的GMT+9时区（与朝鲜时间一致）。受影响的开发者应立即更换所有令牌和账户密码，并考虑重装操作系统。