警惕！朝鲜背景黑客 Slow Pisces 借编程挑战，利用 YAML 反序列化等隐蔽技术精准打击加密开发者

近期安全报告揭示，与此前 Bybit 交易所被黑事件有关联的朝鲜背景 APT 组织 Slow Pisces (别名 Jade Sleet 等)，正针对加密货币开发者部署一场精心策划的攻击活动。攻击者伪装成招聘方，以编程挑战为诱饵，利用多种隐蔽技术分发定制的窃密恶意软件。

攻击链条与关键技术剖析：

Slow Pisces 展现了娴熟的社会工程学与技术规避能力：

1. 社工起点 (LinkedIn)：
   
    在 LinkedIn 上物色加密货币开发者，发送虚假工作机会信息。
2. 诱饵升级 (PDF -> GitHub)：
   
    先发送看似无害的职位描述 PDF，若目标回应，则提供包含编码挑战的 GitHub 项目链接。
3. 木马化项目 (Python/JS)：
   
    GitHub 项目（通常是 Python 或 JavaScript 编写）包含恶意后门。
4. 条件化 C2 通信 (Payload Gating)：
• 项目运行时会连接 C2 服务器。
• 关键：
  
   C2 服务器实施 “Payload Gating” 策略，仅对满足特定条件（如 IP 地址、地理位置、时区、特定的 HTTP 头组合）的请求下发真正的恶意载荷。
• 动机：
  
   此举旨在规避自动化分析、阻止安全研究人员轻易获取和分析其核心攻击工具，并确保高价值恶意软件仅投递给预期目标，从而极大延长其存活周期。
5. 隐蔽的代码执行技术：
• Python (YAML 反序列化)
  
  为躲避对 eval/exec 的检测，攻击者利用 YAML 库的不安全反序列化 特性。通过诱导代码使用 yaml.load() 处理恶意构造的 YAML 数据，攻击者可在反序列化过程中实例化任意 Python 对象并调用方法，最终实现任意代码执行。
• JavaScript (EJS 模板注入)
  
  对于 JS 目标，攻击者利用 EJS 模板引擎 的 ejs.render() 函数。若 C2 响应中包含恶意构造的 EJS 模板代码，render 函数在处理时便会执行这些代码，同样达到隐蔽执行目的。
6. RN Loader (第一阶段载荷)：
   
    成功执行后，通常下载并运行 RN Loader。它负责收集目标系统基本信息回传 C2，并准备接收下一阶段指令。
7. RN Stealer (macOS 信息窃取器)：
   
    C2 随后下发 Base64 编码的 RN Stealer。报告显示该窃密器重点针对 macOS 系统，深度挖掘敏感信息。需要注意，初始的 Python Loader 本身可能具备跨平台能力，未来或许会出现针对其他系统的 Stealer 变种。 RN Stealer 搜刮目标包括：
• 系统元数据、已安装应用。
• 用户目录结构与顶层文件。
• iCloud Keychain
  
  窃取其中存储的各类密码、证书、密钥。
• SSH Keys
  
  获取私钥以登录其他服务器，实现横向移动。
• 云服务配置 (AWS, K8s, GCP)
  
  窃取凭证或配置文件，意图接管云资源。
8. 攻击者决策依据：
   
    RN Stealer 收集的这些高度敏感信息，能让攻击者精确评估受害者的访问权限和潜在价值（如是否能接触核心代码库、生产服务器、云基础设施等）。基于此评估，攻击者决定是否投入更多资源进行持续渗透、横向移动或执行最终目标（如盗取加密货币）。

高超的 OPSEC 与独特的攻击定位：

Slow Pisces 在此次活动中展现了值得关注的 操作安全性 (OPSEC)。载荷的每一步投递都受到严格保护（如 Payload Gating），后期的高级工具仅在确认目标价值后才部署。报告指出，这些工具可能优先在内存中执行，这是一种逃避基于文件的静态检测和事后磁盘取证的高级技巧。

与其他同样使用“工作机会”作为初始诱饵的朝鲜背景组织（如 Operation Dream Job, Moonstone Sleet 等）相比，Slow Pisces 的特点在于其更强的 OPSEC 意识和对更少、但价值更高的目标的专注。虽然初始接触手段相似，但 Slow Pisces 在后续攻击阶段的隐蔽性、目标筛选和工具部署上更为谨慎和精细，显示出朝鲜网络攻击力量内部策略的多样性和专业化分工。

给开发者的安全建议：

• 极度审慎对待“天降”机会：
  
   对通过 LinkedIn 等平台主动发来的、尤其是涉及加密货币领域的高薪工作或项目邀请，保持高度警惕。主动核实招聘方信息。
• 质疑直接的代码挑战：
  
   对要求立即从 GitHub 下载并运行代码来完成的“编程挑战”要特别小心。
• 隔离执行环境：
  
   强烈建议在沙箱、虚拟机或专用测试机中运行任何来自不可信或未经验证来源的代码。
• 代码审查与依赖检查：
  
   运行前，尝试对项目代码进行基本审查，特别注意网络连接、文件读写及可疑库调用。使用 pip-audit, npm audit 等工具检查依赖安全。
• 强化个人凭证管理：
  
   使用强密码和 MFA，限制 API 密钥和 SSH 密钥的权限，定期轮换。

Slow Pisces 的案例警示我们，针对开发者的软件供应链攻击正变得日益复杂和隐蔽。开发者需不断提升安全意识，养成良好的安全习惯，采用纵深防御策略，才能有效抵御这类利用信任、结合高技术含量的高级威胁。

原文始发于微信公众号（技术修道场）：警惕！朝鲜背景黑客 Slow Pisces 借编程挑战，利用 YAML 反序列化等隐蔽技术精准打击加密开发者