警惕！朝鲜 Lazarus 集团化身「美国科技公司」：用「高薪招聘」钓走开发者加密钱包

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

朝鲜国家级黑客组织 Lazarus（ Lazarus ） 再出新招！这次他们竟在纽约、新墨西哥州注册 「合法美国公司」，伪装成科技企业招聘加密货币开发者，实则通过恶意软件窃取钱包私钥、密码等敏感数据。这场堪称「2025 年最狡猾的职场陷阱」，已让数百名开发者中招，更可能威胁全球加密行业安全。  

一、「美国科技公司」的伪装：从注册到行骗的全流程造假  

1. 合法外衣：用「正规流程」骗取信任  

- 公司注册：在新墨西哥州成立 Blocknovas LLC、纽约成立 Softglide LLC，使用伪造的个人身份信息（如虚构的「CEO John Smith」）和空壳地址完成工商登记；  

- 官网搭建：克隆真实科技公司的网页设计，植入「区块链研发」「Web3 创新」等前沿概念，甚至伪造客户案例与媒体报道；  

- 资质伪造：制作虚假的「美国商会认证」「ISO 9001 证书」图片，发布在 LinkedIn 公司主页。  

2. 招聘陷阱：精准锁定加密行业人才  

- 渠道选择：在 Upwork、LinkedIn 等平台发布「高级智能合约开发」「区块链安全专家」等职位，薪资比市场水平高 30%-50%；  

- 面试套路：  

  ✅ 第一轮「HR 初筛」：通过 Telegram 或 Slack 快速沟通，强调「项目紧急，可远程办公」；  

  ✅ 第二轮「技术测试」：发送名为「测试任务.zip」的文件，声称「需本地运行调试」，实则包含 InfoStealer 木马；  

  ✅ 第三轮「终面」：以「代码审查」为由，要求开发者登录个人 GitHub 账号或加密货币钱包进行演示。  

3. 数据收割：从「求职工具」到「窃密武器」  

- 恶意软件功能：  

  - 监控键盘输入，窃取钱包助记词、交易所登录密码；  

  - 截图记录屏幕，捕获开发者正在编辑的智能合约代码；  

  - 遍历文件系统，打包私钥文件（如 .json 格式的 MetaMask 钱包文件）加密上传至黑客服务器；  

- 资金流向：直接转走钱包内的 USDT、ETH 等资产，或利用窃取的代码漏洞攻击去中心化金融（DeFi）协议，进一步牟利。  

二、攻击升级：从「单纯盗窃」到「国家间谍」  

1. 技术支撑：俄罗斯基础设施「借壳作案」  

- 网络伪装：使用俄罗斯哈巴罗夫斯克等地的 IP 地址搭建 C2 服务器，通过 Astrill VPN 等工具隐藏真实来源；  

- 开发协作：利用 GitHub 公开仓库托管恶意代码，通过 Slack 与「应聘者」沟通，混淆安全人员视线。  

2. 跨团伙协作：与俄罗斯黑客「技术共享」  

- 手法复制：此次攻击与俄罗斯黑客组织 Crazy Evil 的「ChainSeeker.io 骗局」高度相似，两者均使用虚假公司、钓鱼测试文件和 Telegram 传播木马，疑似存在技术交流或工具交易；  

- 情报共享：部分受害者在被盗取钱包后，其开发环境权限被移交至其他未知团伙，推测 Lazarus 可能将「战果」出售给其他国家级黑客，用于进一步的网络间谍活动。  

3. 官方定性：FBI 确认「国家级威胁」  

- 域名查封：美国联邦调查局已强制关停 Blocknovas 等公司的官方网站，并逮捕多名参与招聘诈骗的「前台人员」；  

- 资金追踪：调查显示，被盗加密货币通过混币器（Tornado Cash）清洗后，最终流入朝鲜境内的「IT 产业局」，用于支持核武器研发。  

三、开发者自救指南：5 招识破「高薪骗局」  

1. 公司背景「三重验证」  

- 工商信息查询：通过美国各州务卿官网（如 [New Mexico SOS](https://www.sos.state.nm.us)）核实公司注册信息，注意地址是否为「虚拟办公室」或废弃建筑；  

- 联系方式检验：对没有固定电话、仅提供 Telegram/WhatsApp 的「HR」保持警惕，真实企业通常使用公司邮箱沟通；  

- 技术社区搜索：在 GitHub、Stack Overflow 等平台搜索公司名称，查看是否有开发者提及相关招聘或项目。  

2. 拒绝「本地运行」请求  

- 测试任务合规化：要求将代码提交至在线 IDE（如 Replit、CodeSandbox），避免下载并运行可疑文件；  

- 沙箱环境隔离：必须本地调试时，使用 Docker 沙箱 或 VirtualBox 虚拟机，切断与真实系统的文件共享。  

3. 钱包资产「物理隔离」  

- 冷钱包优先：重要资产存储在离线硬件钱包（如 Ledger、Trezor），仅在交易时短暂联网；  

- 创建测试钱包：参与外部项目时，使用独立的「测试钱包」，且资产不超过 100 美元，避免大额损失。  

4. 企业级防御：加密公司的「防火墙」  

- 招聘流程安全审计：对接聘者提交的代码进行 静态分析（如使用 SonarQube），检测是否包含恶意依赖；  

- 员工设备管控：强制安装 EDR 工具（如 CrowdStrike），实时监控异常进程和文件外发；  

- 威胁情报共享：加入行业联盟（如 Crypto Security Alliance），及时获取钓鱼公司黑名单。  

5. 应急响应：万一中招怎么办？  

- 立即断网：拔除以太网线、关闭 Wi-Fi，防止恶意软件上传数据；  

- 钱包冻结：通过交易所或区块链浏览器（如 Etherscan）冻结资产转移，联系链上安全团队（如 PeckShield）追踪资金流向；  

- 法律报案：向当地 FBI 办公室或国土安全调查局（HSI）提交书面报告，提供招聘聊天记录、恶意文件样本等证据。  

四、写在最后：当「职场机遇」成为「国家级陷阱」  

Lazarus 的「合法公司」策略揭示了一个危险趋势：国家级黑客正在利用全球化招聘的漏洞，将「人才市场」转化为「情报战场」。尤其是加密行业开发者，因工作性质涉及高价值数字资产，更需警惕「高薪诱惑」背后的间谍风险。  

记住：真正的科技公司不会要求你「用隐私换机会」。下次收到「美国大厂急聘」消息时，不妨多问一句：  

「这家公司连办公地址都查不到，凭什么给我高于市场的薪资？」  

加入知识星球，可继续阅读

一、"全球高级持续威胁：网络世界的隐形战争"，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、"DeepSeek：APT攻击模拟的新利器"，为你带来APT攻击的新思路。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：警惕！朝鲜 Lazarus 集团化身「美国科技公司」：用「高薪招聘」钓走开发者加密钱包