朝鲜APT Kimsuky再出新招，MacOS恶意软件变种瞄准加密货币钱包

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

近期，网络安全研究人员发现了一种由朝鲜民主主义人民共和国（DPRK）支持的黑客组织发布的更新版窃取恶意软件。这一发现再次引起了全球对网络间谍活动的高度关注。此次恶意软件攻击的目标是MacOS用户，特别是那些与加密货币和高价值数据有关的用户。

恶意软件伪装成视频通话服务

安全研究员帕特里克·沃德尔（Patrick Wardle）指出，这次的恶意软件是一个名为“MiroTalk.dmg”的Apple macOS磁盘映像（DMG）文件。这个文件伪装成合法的视频通话服务MiroTalk，但实际上它是传递BeaverTail恶意软件的工具。

BeaverTail是一种JavaScript窃取恶意软件，最早由Palo Alto Networks Unit 42于2023年11月记录下来。它是名为“传染性面试”活动的一部分，通过假装招聘的方式感染软件开发人员。Securonix公司将其称为DEV#POPPER。

恶意软件的多重危害

除了窃取网络浏览器和加密钱包中的敏感信息，BeaverTail还能提供其他负载，比如InvisibleFerret——一个用于下载AnyDesk的Python后门，以实现持久远程访问。最新发现表明，恶意软件的分发载体已经从GitHub和npm包注册表转向了DMG文件。

狡猾的攻击手法

沃德尔表示，朝鲜黑客可能通过要求受害者下载并执行托管在mirotalk[.]net上的MiroTalk（受感染版本），以此引诱他们参加所谓的招聘会议。分析显示，未签名的DMG文件可以窃取加密货币钱包、iCloud Keychain以及Google Chrome、Brave和Opera等网络浏览器的数据，还能从远程服务器下载并执行其他Python脚本。

“朝鲜黑客非常擅长攻击MacOS目标，尽管他们的技术依赖于社会工程学，从技术角度来看并不令人印象深刻，但其手段非常狡猾。”沃德尔说道。

npm包中的新恶意

与此同时，Phylum公司发现了一个名为call-blockflow的新恶意npm包，该包模仿了合法的call-bind库，结合了下载远程二进制文件的复杂功能。虽然call-bind程序包本身没有受到攻击，但武器化的call-blockflow包复制了原始程序包的所有信任和合法性，以增强攻击的成功率。

Phylum公司在声明中表示：“这些软件包一旦安装，就会下载远程文件、解密、执行导出的函数，然后通过删除和重命名文件来精心掩盖其踪迹。这使得软件包目录在安装后看似无害。”

全球警惕

此外，日本计算机应急响应小组（JPCERT/CC）警告称，朝鲜Kimsuky攻击者正策划针对日本组织的网络攻击。感染过程通常从冒充安全和外交组织的网络钓鱼消息开始，包含恶意可执行文件，最终导致PowerShell脚本的执行，以收集用户帐户、系统和网络信息，并将信息泄露到命令和控制（C2）服务器。

尽管关于Kimsuky针对日本组织的报道较少，但JPCERT/CC表示：“日本也有可能成为主动攻击目标。”

结语

这次恶意软件的发现再次提醒我们，网络安全形势依然严峻。黑客组织的手段不断翻新，攻击目标也越来越广泛。我们需要提高警惕，确保设备和信息的安全，避免成为网络攻击的受害者。

关注我们，获取更多关于全球网络安全动态和防护措施的最新信息。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

近期将在知识星球连载个人创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友加入沟通交流。

原文始发于微信公众号（紫队安全研究）：朝鲜APT Kimsuky再出新招，MacOS恶意软件变种瞄准加密货币钱包