Lazarus 黑客使用 ClickFix 技术针对币圈开发者部署恶意软件

Lazarus APT 组织在最近的攻击中使用 ClickFix 技术来传播恶意软件，这些攻击目标为加密货币相关行业的开发人员提供虚假工作机会。

多年来，Lazarus一直以加密货币生态系统为目标，在 2023 年和 2024 年窃取了约 20 亿美元的虚拟资产。2025 年 3 月， Lazarus 从位于阿联酋的加密货币交易平台 Bybit 窃取了价值 15 亿美元的加密货币。

该组织曾针对软件开发人员（主要是对加密货币感兴趣的人）发起攻击，并发起了多项活动，例如“梦想工作行动”、“传染性面试”和“欺骗性开发”等等。

网络安全公司 Sekoia 称，新发现的攻击是 2022 年开始的“传染性面试”活动的延续，该活动利用名为 GolangGhost 的 Go 后门针对寻找新工作机会的加密货币行业开发人员。

这项名为ClickFake Interview的新活动依靠多个虚假的求职面试网站，使用ClickFix 技术诱骗 Windows 和 macOS 用户安装恶意软件。

攻击始于社交媒体消息，邀请毫无戒心的受害者参加虚假的加密货币相关职位网络面试，目标会收到第三方网站的 URL，虚假面试将在该网站进行。

威胁组织建立了数十个虚假的面试网站，发送了数百份邀请（Sekoia 检索到了 184 份不同的邀请），并冒充十几个中心化和去中心化金融实体，包括 Coinbase、Archblock、KuCoin Exchange、Ripple 和 Chainalysis。

这些虚假面试网站具有相同的用户界面，使用 ReactJS 从 JavaScript 文件动态加载内容，并包含大约 10 个定制的邀请。

进入网站后，受害者需要完成几个步骤，包括填写联系表、回答几个问题以及使用设备的摄像头录制介绍视频，然后才准备接受面试。

当受害者尝试启用摄像头时，就会触发 ClickFix 技术：网站向受害者发送一条错误消息，声称需要安装驱动程序，并指示他们通过使用 Windows 上的命令提示符或 macOS 上的终端应用程序执行特定代码来下载它。

感染链导致安装 GolangGhost，这是一个用 Go 编写的后门，允许攻击者下载/上传文件、执行 shell 命令、启动 Chrome 窃取程序并检索系统信息。

“所有虚假招聘职位都与软件开发的技术背景无关。这些职位主要是专注于业务开发、资产管理、产品开发或去中心化金融专家的经理职位。”Sekoia 指出。

技术报告：

https://blog.sekoia.io/clickfake-interview-campaign-by-lazarus/

新闻链接：

https://www.securityweek.com/lazarus-uses-clickfix-tactics-in-fake-cryptocurrency-job-attacks/