朝鲜假工作诈骗通过'传染式面试'传播恶意软件

北韩假工作诈骗通过“传染性面试”传播恶意软件

执行摘要

北韩国家资助的黑客正在部署一场名为“传染性面试”的自我传播社会工程活动，该活动利用被破坏的开发者的GitHub仓库感染其他求职者的远程访问木马（RATs）。根据Securonix的研究人员，Lazarus Group 用假工作提供引诱加密货币和技术专业人员，然后使用他们自己的代码攻击后续候选人，创建了一个类似蠕虫的感染链。

技术分析

攻击始于包含恶意链接的网络钓鱼电子邮件，通常伪装成在GitHub等平台上托管的合法编码挑战或面试任务。如果受害者与仓库互动——例如，通过克隆它并运行提供的脚本——就会部署恶意软件。主要的有效载荷是远程访问木马，如RustBucket或KandyKorn，它建立了后门。至关重要的是，威胁行为者随后破坏了受害者自己的GitHub账户和仓库。他们将恶意代码注入受害者的项目中，然后作为“测试”呈现给下一轮求职者，自动传播感染。

入侵指标

源材料中未识别出任何入侵指标。

战术、技术与程序

该活动采用几种不同的技术。初始访问是通过针对加密和科技行业的专业人士的鱼叉式网络钓鱼（T1566）获得的。攻击者使用假身份和公司角色来建立信誉。在破坏之后，他们通过修改受害者的GitHub仓库来托管恶意有效载荷，滥用版本控制系统（T1199）。通过用户执行恶意脚本（T1204）实现执行。一个受害者的资源被用来攻击下一个受害者的自我传播机制，代表了软件供应链攻击（T1195.002），并展示了在特定专业社区内横向移动的类似蠕虫的能力。

威胁行为者背景

该活动被归因于Lazarus Group，这是北韩侦察总局运营的一个网络间谍和金融犯罪单位。该小组以盗窃高价值加密货币以资助政权而闻名。这种“传染性面试”策略代表了他们社会工程剧本的演变，从一次性破坏转移到创建一个可持续的、自动化的感染管道，减少了他们的直接参与，并利用受害者的信誉。

缓解措施与建议

Securonix建议组织，特别是在加密货币和技术领域，培训员工和承包商审查未经请求的工作面试和技术测试。开发人员应在执行前验证任何代码仓库的完整性，即使它看起来来自已知联系人。在所有版本控制和开发平台账户上强制执行多因素身份验证可以防止账户被接管。安全团队应监控不寻常的仓库提交或从开发环境中执行未知二进制文件。