【安全资讯】开发者遭遇高级求职骗局：伪装成区块链公司的朝鲜黑客窃取密码与加密钱包

概要：

一名塞尔维亚Web开发者通过LinkedIn收到伪装成区块链公司Genusix Labs的招聘信息，在看似正常的视频面试后，被诱导运行包含恶意代码的编程测试。攻击者利用隐藏在依赖项中的shell脚本，在56秒内窃取了634个Chrome密码、macOS钥匙串及MetaMask钱包数据。安全公司zeroShadow认为，此次攻击与朝鲜政府关联黑客组织有关，手法与先前Step Finance遭入侵事件一致。

主要内容：

该骗局始于一条看似正规的LinkedIn消息。攻击者创建了完整的公司网站和员工头像，并通过Zoom视频面试建立信任。在第二轮技术面试中，面试官主动鼓励开发者检查代码安全性，甚至开玩笑提及求职骗局，以此降低受害者警惕。

恶意代码被隐藏在编程测试项目的深层依赖中。当开发者运行测试时，一个名为camdriver.sh的shell脚本在后台静默执行。该脚本首先检测CPU架构，然后下载对应的Go语言后门程序。后门使用自定义RC4加密协议通信，具备执行系统命令、窃取文件、提取Chrome密码、导出钥匙串数据以及针对加密货币钱包的功能。

尽管开发者仅运行代码56秒就切断网络并手动清除恶意软件，但攻击者已成功窃取634个Chrome保存密码、macOS钥匙串和MetaMask钱包数据。所有银行、邮箱、GitHub等密码均被明文读取。开发者事后表示，攻击者不催促运行代码的态度反而让他放松警惕，这正是骗局的高明之处。

zeroShadow调查发现，此次攻击与朝鲜政府关联黑客组织有关，其使用的代码和战术与之前Step Finance被入侵事件完全相同。这种针对开发者的高级社会工程攻击正在进化，未来可能通过假入职流程、假任务分配等方式，在开发者环境中植入后门，进而窃取凭证、感染CI/CD管道，造成更大范围的安全威胁。