朝鲜黑客组织Lazarus盯上自由职业软件开发者——警惕Operation 99新型攻击

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

近年来，网络安全威胁层出不穷，尤其是由朝鲜黑客组织Lazarus策划的攻击行动。根据The Hacker News的最新报道，这个臭名昭著的黑客组织正通过新一轮的“Operation 99”全球行动，将矛头对准Web3和加密货币领域的自由职业软件开发者。  

伪装招聘者，精心策划的骗局  

Lazarus组织的攻击手段日趋复杂，他们伪装成LinkedIn上的招聘人员，向目标开发者提供所谓的“项目测试”或“代码审查”。然而，这些任务背后暗藏玄机——它们会将开发者引导至恶意的GitLab仓库。这些仓库分发的是高度模块化的信息窃取恶意软件，可兼容Windows、macOS和Linux系统。

恶意软件分析：多功能窃取与破坏  

据SecurityScorecard的研究，该行动中使用了Main5346和Main99下载器，向受害者投递了功能强大的恶意载荷，包括：  

Payload99/73 和 Payload5346：用于窃取系统数据、终止浏览器进程，以及执行任意代码。  

Brow99/73：专门窃取凭证的模块，直接瞄准用户的敏感数据。  

MCLIP：具备键盘记录和剪贴板跟踪功能，帮助攻击者获取输入信息和加密货币钱包密钥。  

为何软件开发者成为目标？  

Lazarus组织选择瞄准自由职业开发者并非偶然。这些开发者往往处理机密的代码和项目，一旦其账户被攻破，黑客便能轻松窃取知识产权，同时获得加密货币钱包的直接访问权限。  

SecurityScorecard的高级副总裁Ryan Sherstobitoff指出，这种有针对性的攻击可能导致数百万美元的数字资产被盗，为Lazarus组织的金融目标提供了强有力的支持。  

> “通过攻陷开发者账户，攻击者不仅能窃取知识产权，还能直接接触加密货币钱包，实施资金盗窃。”  

更广泛的威胁与影响  

此次“Operation 99”行动不仅局限于数字资产领域，其影响范围可能波及整个开发者社区。  

知识产权风险：核心代码和项目文件被窃取，可能引发企业竞争中的重大安全隐患。  

金融损失：开发者及其客户的加密货币资产直接面临失窃风险。  

生态系统动荡：攻击的连锁反应可能影响相关Web3项目的稳定性，甚至引发信任危机。  

如何防范？专家建议如下：  

1. 警惕陌生招聘信息：避免轻信在线招聘者，特别是通过LinkedIn提供的项目测试或代码审查请求。  

2. 核查代码来源：对于任何外部提供的代码库或项目链接，务必先行验证其来源可靠性。  

3. 使用沙盒环境：在下载和测试代码时，建议使用隔离环境（如虚拟机）来防止恶意软件感染主系统。  

4. 启用多因素认证（MFA）：为所有开发工具和加密货币钱包账户增加额外保护层。  

5. 持续监测账户活动：定期检查账户的登录活动，发现异常立即采取措施。  

结语：数字世界的安全防线从你我做起  

“Operation 99”行动揭示了当今网络威胁的复杂性与隐蔽性，也提醒我们在技术发展的同时，不可忽视信息安全的重要性。作为开发者，尤其是参与Web3和加密货币项目的从业者，必须加强自身防护意识，抵御新兴威胁。

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友入圈沟通交流。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：朝鲜黑客组织Lazarus盯上自由职业软件开发者——警惕“Operation 99”新型攻击