Lazarus Group"虚假面试"行动:针对Windows与macOS用户的加密货币求职陷阱
💡
原文中文,约1900字,阅读约需5分钟。
📝
内容提要
朝鲜黑客组织拉撒路集团近期发起代号为"虚假面试"的新攻击,针对加密货币求职者,利用伪造的面试网站和恶意程序GolangGhost,显示其对加密货币行业的持续关注。该组织自2009年活跃,曾多次攻击集中式金融平台。
🎯
关键要点
- 朝鲜黑客组织拉撒路集团近期发起代号为'虚假面试'的新攻击,针对加密货币求职者。
- 该组织通过伪造的面试网站和恶意程序GolangGhost进行攻击,显示对加密货币行业的持续关注。
- 拉撒路集团自2009年活跃,长期从事网络间谍和金融犯罪活动,为朝鲜导弹与核计划提供资金支持。
- 该组织在2017年后显著加强了对加密货币实体的攻击,采用多种手段进行攻击。
- 2025年3月,该组织从阿联酋交易所Bybit窃取15亿美元,成为加密货币史上最大规模的黑客事件。
- 新攻击沿用了'传染性面试'的战术框架,通过高度仿真的面试网站诱骗受害者。
- 攻击者使用ReactJS构建网站,诱骗用户下载恶意程序,触发感染链。
- GolangGhost后门具备跨平台的远程控制与数据窃取能力,能够执行Shell命令和收集敏感信息。
- 拉撒路集团主要针对Coinbase、Kraken、Bybit和Robinhood等集中式金融平台。
- 虚假招聘广告专门针对非技术岗位,攻击链依赖短时间内连续执行的命令序列。
- 通过监测异常脚本执行行为和检查注册表可疑键值,可以防御该攻击。
- 该组织的新策略显示出其试图通过安全意识较弱的目标实现攻击突破,继续为朝鲜政权获取资金。
❓
延伸问答
拉撒路集团的虚假面试攻击主要针对哪些用户?
主要针对加密货币行业的求职者。
拉撒路集团使用了什么恶意程序进行攻击?
使用了基于Go语言的后门程序GolangGhost。
虚假面试攻击是如何诱骗用户的?
通过伪造的面试网站和动态加载的JavaScript文件模拟正规招聘流程,诱骗用户下载恶意程序。
拉撒路集团的攻击策略有什么变化?
从早期针对去中心化金融(DeFi)转向集中式金融(CeFi)平台,显示出对中介交易的兴趣增加。
如何防御拉撒路集团的虚假面试攻击?
可以通过监测异常脚本执行行为和检查注册表可疑键值来防御该攻击。
拉撒路集团的攻击活动对加密货币行业有什么影响?
其攻击活动对全球集中式金融平台构成重大威胁,可能导致资金损失和安全隐患。
➡️
