近日,与朝鲜有关的黑客组织Lazarus Group被指发起了一项名为Operation 99的新型网络攻击行动,目标锁定在寻找Web3和加密货币自由职业工作的软件开发者。此次攻击通过伪造LinkedIn资料,诱使开发者下载恶意代码,进而窃取敏感数据。安全公司SecurityScorecard在2025年1月9日发现了这一行动,并于今日发布了详细报告。
攻击手法:虚假招聘与恶意代码
Operation 99的攻击始于虚假招聘人员,他们在LinkedIn等平台上伪装成招聘者,以项目测试和代码审查为名吸引开发者。一旦受害者上钩,攻击者会引导他们克隆一个恶意的GitLab仓库。这些仓库看似无害,实则包含恶意代码,能够连接到命令与控制(C2)服务器,将恶意软件植入受害者的开发环境。
全球受害者分布
此次攻击的受害者遍布全球,其中意大利的受害者数量最多,其次是阿根廷、巴西、埃及、法国、德国、印度、印尼、墨西哥、巴基斯坦、菲律宾、英国和美国等地。SecurityScorecard表示,尽管无法提供精确的受害者数据,但攻击者已成功说服目标开发者执行恶意仓库中的代码。
攻击特点:高度伪装与技术进步
Operation 99的独特之处在于,它通过精心设计的虚假LinkedIn资料和复杂的招聘计划,诱使开发者参与编码项目。Lazarus Group此前曾使用类似手法(如Operation Dream Job),但此次行动特别针对Web3和加密货币领域的开发者。SecurityScorecard高级副总裁Ryan Sherstobitoff指出,朝鲜黑客不断改进其方法,利用AI生成的资料和逼真的沟通技巧,使攻击更具欺骗性。
恶意软件架构与目标
攻击的最终目标是部署数据窃取工具,从开发环境中提取源代码、密钥、加密货币钱包密钥和其他敏感数据。此次行动中使用的恶意软件包括:
-
Main5346及其变体Main99:作为下载器,用于获取其他三个有效载荷。
-
Payload99/73(功能类似的Payload5346):收集系统数据(如文件和剪贴板内容),终止浏览器进程,执行任意命令,并与C2服务器建立持久连接。
-
Brow99/73:窃取浏览器数据以获取凭证。
-
MCLIP:实时监控并窃取键盘和剪贴板活动。
潜在危害与影响
通过入侵开发者账户,攻击者不仅窃取知识产权,还能访问加密货币钱包,直接实施金融盗窃。SecurityScorecard警告,私钥和密钥的针对性窃取可能导致数百万美元的数字资产被盗,进一步实现Lazarus Group的财务目标。
跨平台威胁与应对建议
此次攻击中使用的恶意软件采用模块化设计,能够灵活运行于Windows、macOS和Linux操作系统。这凸显了国家级网络威胁的不断演变和适应性。
结语:
Operation 99行动再次提醒我们,Web3和加密货币领域已成为黑客的重点目标。开发者应提高警惕,避免轻信不明来源的招聘信息,尤其是在LinkedIn等职业社交平台上。建议开发者:
-
验证招聘者身份:仔细检查招聘者的资料和历史记录。
-
避免克隆未知仓库:仅从可信来源下载代码。
-
加强安全防护:使用安全工具监控开发环境,定期更新系统和软件。
随着Web3和加密货币行业的蓬勃发展,类似攻击可能会更加频繁。保持警惕并采取必要的安全措施,是保护个人和企业免受此类威胁的关键。
原文始发于微信公众号(技术修道场):Lazarus组织发起“Operation 99”行动,通过虚假LinkedIn资料瞄准Web3开发者
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论