【安全资讯】网络间谍活动：北朝鲜黑客部署BeaverTail和InvisibleFerret恶意软件

概要：

近期，eSentire威胁响应单位（TRU）揭露了一起复杂的网络攻击事件，涉及北朝鲜黑客使用的BeaverTail和InvisibleFerret恶意软件。这一事件突显了网络犯罪分子在攻击软件开发者及其系统时所采用的不断演变的战术，给相关行业带来了严重的安全隐患。

主要内容：

在2024年10月，eSentire的TRU团队响应了一起事件，一名软件开发者在通过NPM安装JavaScript项目时，无意中执行了BeaverTail恶意软件。这一初始感染成为了后续InvisibleFerret恶意软件传播的入口，后者通过Python脚本被部署。InvisibleFerret恶意软件通过Python命令执行，获取主机信息并窃取浏览器凭证。

感染过程始于一个名为“task-space-eshop-aeea6cc51a7c.zip”的ZIP文件，该文件从一个伪造的BitBucket代码库下载。该恶意项目据称由“francesco zaid”上传，符合以往Contagious Interview活动中黑客通过虚假招聘信息诱骗受害者的战术。BeaverTail恶意软件利用感染的系统下载并执行InvisibleFerret的组件，初始的Python脚本作为加载器，启动多个针对受害者机器的恶意负载。

InvisibleFerret的三个主要组件——pay、brow和mlip——分别执行指纹识别、凭证窃取和剪贴板记录。该恶意软件特别针对Chrome、Brave等浏览器，窃取凭证和加密钱包配置。eSentire指出，任何被发现感染InvisibleFerret的系统都应假设这些密钥已被泄露，并采取适当措施。随着北朝鲜Lazarus集团等威胁行为者战术的扩展，开发者和组织必须保持警惕，强化安全实践，确保在打开数字工作空间之前仔细审查来源。