警惕！朝鲜 Lazarus 黑客盯上开发者：用「高薪招聘」偷代码、盗加密货币

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

最近，全球开发者圈惊现新型攻击！朝鲜国家级黑客组织 Lazarus（ Lazarus ） 正在策划一场针对程序员的「猎捕行动」—— 他们伪装成招聘专员，在 LinkedIn 等平台发布「高薪兼职」，诱骗开发者下载恶意代码库，最终窃取核心数据和加密货币。这场被称为 「Operation 99」 的攻击，已让多个国家的开发者中招，堪称「2025 年最危险的职场陷阱」。  

一、「招聘陷阱」全揭秘：从「面试」到「中毒」的三步套路  

1. 精准钓鱼：用「理想工作」敲开你的门  

黑客们会在招聘平台创建 高仿真账号（甚至盗用真实用户资料），以「急聘资深开发」「远程兼职月入十万」等噱头主动联系开发者。他们声称「项目需先做技术测试」或「提交代码示例」，诱导受害者点击恶意链接或克隆 Git 仓库。  

警惕信号：  

招聘方账号资料模糊，无真实工作记录；  

岗位要求极低但薪资异常高，如「会写基础代码即可参与区块链项目」；  

拒绝视频面试，仅通过邮件或即时通讯工具沟通。  

2. 恶意代码植入：你的开发环境成了「肉鸡」  

当开发者下载并运行黑客提供的代码库时，恶意软件会悄悄潜入设备。这些木马具备 跨平台攻击能力（Windows/macOS/Linux 通杀），能执行以下操作：  

窃取开发资产：监控代码编辑器，盗取未公开的源代码、配置文件和敏感密钥；  

监听键盘与剪贴板：记录密码、钱包助记词，直接盗窃加密货币；  

建立长期后门：连接黑客控制服务器（C2），持续监控受害者参与的所有项目。  

3. 链式感染：从个人到企业的「病毒扩散」  

Lazarus 的终极目标不止于个人数据 —— 当开发者使用被感染设备提交代码到公司仓库时，恶意软件会 渗透整个企业开发流程，导致核心业务系统沦陷。例如：  

某金融科技公司因员工下载恶意代码，黑客通过其提交的代码植入后门，窃取数千万用户数据；  

开源项目贡献者被感染后，黑客篡改代码库，导致全球数万开发者拉取带毒版本。  

二、Lazarus 的「进化史」：从「粗劣钓鱼」到「AI 精准欺诈」  

这个臭名昭著的黑客组织，近年来攻击手法不断升级：  

2021 年「梦幻工作」行动：向特定企业发送伪造招聘邮件，附件携带木马窃取机密；  

DEVOPPER 行动：虚构「区块链创业公司」招聘，针对全球开发者大规模撒网；  

2025 最新升级：  

  ✅ AI 伪造身份：用生成式 AI 制作逼真的招聘专员头像、工作经历，甚至模拟真人语音沟通；  

  ✅ 模块化 malware：根据受害者使用的开发工具（如 VS Code、PyCharm）自动适配攻击组件；  

  ✅ 加密与反溯源：使用多层加密传输数据，并用虚假 IP 伪装攻击来源，增加追踪难度。  

三、开发者自救指南：避开「职场黑客」的 5 条铁律  

1. 招聘渠道「三重验证」  

核实招聘方身份：通过公司官网、官方联系方式二次确认职位真实性；  

拒绝「非常规流程」：对「先下载文件再面试」「绕过平台沟通」等要求坚决说「不」；  

检查 Git 仓库安全性：用代码扫描工具（如 SonarQube）检测陌生仓库的依赖项，避免运行未经审计的代码。  

2. 开发环境「隔离防护」  

设立 专用测试机：用于运行外部代码，与生产环境物理隔离；  

启用多因素认证（MFA）：对代码仓库、加密货币钱包等关键资产开启二次验证；  

定期扫描设备：使用终端安全工具（如 CrowdStrike）每周进行全盘杀毒。  

3. 敏感信息「最小暴露」  

避免在公开平台泄露项目细节、代码片段；  

使用虚拟钱包地址：参与外部项目时，创建独立于主钱包的临时地址；  

及时清除测试数据：完成「面试任务」后，彻底删除下载的代码和相关文件。  

4. 企业级防御：构建「开发者安全护城河」  

入职背景调查：对接触核心代码的员工进行安全背景审查；  

代码仓库监控：部署静态代码分析（SAST）工具，拦截包含恶意依赖的代码提交；  

安全意识培训：定期模拟「钓鱼招聘」演练，提升团队对新型攻击的识别能力。  

5. 加密货币「终极防护」  

硬件钱包优先：重要资产存储在离线硬件设备中；  

警惕「高薪空投」：对陌生项目的「测试代币」请求保持怀疑，可能是钓鱼诱饵；  

小额测试原则：参与外部开发时，用最小额度资金进行功能验证。  

四、写在最后：当「职场机遇」变成「安全危机」  

Lazarus 的攻击揭示了一个残酷现实：在数字化时代， 「找工作」这件事本身已成为黑客的「战场」。尤其是开发者群体，因工作性质需频繁接触代码和网络，更易成为攻击目标。  

记住：真正的机会不需要你「先牺牲安全」。下次收到「急聘高薪」消息时，不妨多问一句：  

「这份工作，为什么偏偏选中了我？」  

加入知识星球，可继续阅读

一、"全球高级持续威胁：网络世界的隐形战争"，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、"DeepSeek：APT攻击模拟的新利器"，为你带来APT攻击的新思路。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：警惕！朝鲜 Lazarus 黑客盯上开发者：用「高薪招聘」偷代码、盗加密货币