Lazarus组织发起Operation 99行动,通过虚假LinkedIn资料瞄准Web3开发者

admin 2025年1月22日09:33:23评论23 views字数 1434阅读4分46秒阅读模式
Lazarus组织发起Operation 99行动,通过虚假LinkedIn资料瞄准Web3开发者

近日,与朝鲜有关的黑客组织Lazarus Group被指发起了一项名为Operation 99的新型网络攻击行动,目标锁定在寻找Web3和加密货币自由职业工作的软件开发者。此次攻击通过伪造LinkedIn资料,诱使开发者下载恶意代码,进而窃取敏感数据。安全公司SecurityScorecard在2025年1月9日发现了这一行动,并于今日发布了详细报告。

攻击手法:虚假招聘与恶意代码

Operation 99的攻击始于虚假招聘人员,他们在LinkedIn等平台上伪装成招聘者,以项目测试和代码审查为名吸引开发者。一旦受害者上钩,攻击者会引导他们克隆一个恶意的GitLab仓库。这些仓库看似无害,实则包含恶意代码,能够连接到命令与控制(C2)服务器,将恶意软件植入受害者的开发环境。

全球受害者分布

此次攻击的受害者遍布全球,其中意大利的受害者数量最多,其次是阿根廷、巴西、埃及、法国、德国、印度、印尼、墨西哥、巴基斯坦、菲律宾、英国和美国等地。SecurityScorecard表示,尽管无法提供精确的受害者数据,但攻击者已成功说服目标开发者执行恶意仓库中的代码。

攻击特点:高度伪装与技术进步

Operation 99的独特之处在于,它通过精心设计的虚假LinkedIn资料和复杂的招聘计划,诱使开发者参与编码项目。Lazarus Group此前曾使用类似手法(如Operation Dream Job),但此次行动特别针对Web3和加密货币领域的开发者。SecurityScorecard高级副总裁Ryan Sherstobitoff指出,朝鲜黑客不断改进其方法,利用AI生成的资料和逼真的沟通技巧,使攻击更具欺骗性。

恶意软件架构与目标

攻击的最终目标是部署数据窃取工具,从开发环境中提取源代码、密钥、加密货币钱包密钥和其他敏感数据。此次行动中使用的恶意软件包括:

  • Main5346及其变体Main99:作为下载器,用于获取其他三个有效载荷。

  • Payload99/73(功能类似的Payload5346):收集系统数据(如文件和剪贴板内容),终止浏览器进程,执行任意命令,并与C2服务器建立持久连接。

  • Brow99/73:窃取浏览器数据以获取凭证。

  • MCLIP:实时监控并窃取键盘和剪贴板活动。

潜在危害与影响

通过入侵开发者账户,攻击者不仅窃取知识产权,还能访问加密货币钱包,直接实施金融盗窃。SecurityScorecard警告,私钥和密钥的针对性窃取可能导致数百万美元的数字资产被盗,进一步实现Lazarus Group的财务目标。

跨平台威胁与应对建议

此次攻击中使用的恶意软件采用模块化设计,能够灵活运行于Windows、macOS和Linux操作系统。这凸显了国家级网络威胁的不断演变和适应性。

结语:

Operation 99行动再次提醒我们,Web3和加密货币领域已成为黑客的重点目标。开发者应提高警惕,避免轻信不明来源的招聘信息,尤其是在LinkedIn等职业社交平台上。建议开发者:

  1. 验证招聘者身份:仔细检查招聘者的资料和历史记录。

  2. 避免克隆未知仓库:仅从可信来源下载代码。

  3. 加强安全防护:使用安全工具监控开发环境,定期更新系统和软件。

随着Web3和加密货币行业的蓬勃发展,类似攻击可能会更加频繁。保持警惕并采取必要的安全措施,是保护个人和企业免受此类威胁的关键。

原文始发于微信公众号(技术修道场):Lazarus组织发起“Operation 99”行动,通过虚假LinkedIn资料瞄准Web3开发者

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月22日09:33:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Lazarus组织发起Operation 99行动,通过虚假LinkedIn资料瞄准Web3开发者https://cn-sec.com/archives/3658611.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息