朝鲜籍网络攻击者伪装招聘平台向开发者植入恶意软件
软件供应链安全公司ReversingLabs报告称,朝鲜籍威胁行为者自2025年5月起持续发起新型网络攻击,通过LinkedIn、Facebook和Reddit等平台发布虚假区块链行业招聘信息,诱使JavaScript和Python开发者运行包含恶意代码的编程测试项目。
攻击手段分析
该活动涉及在npm和PyPi官方代码仓库发布的192个恶意软件包。这些伪装成编程挑战的代码包会下载远程访问特洛伊木马(RAT),可实现文件窃取、二次载荷投递及执行任意命令。研究人员特别指出,名为'bigmathutils'的恶意软件包在1.1.0版本中植入攻击代码,该包曾获得1万次下载后被迅速标记为废弃。
技术特征
恶意软件具备检测目标设备是否安装MetaMask加密货币扩展程序的能力,明确指向窃取数字资产的攻击目的。目前发现的变种代码涵盖JavaScript、Python和VBS三种语言,显示攻击者意图覆盖全平台开发者。
事件背景
此类网络攻击活动已被证实持续超过一年,攻击者持续利用伪造公司身份和职位发布手段实施网络渗透。安全专家建议开发者对网络求职代码挑战保持警惕,避免运行未经验证的第三方软件包。
编辑点评
这项针对全球开发者的新型网络攻击事件凸显了软件供应链安全的重要性。朝鲜网络攻击者通过职业社交平台渗透目标群体,相较于传统钓鱼手段更具隐蔽性。恶意软件特洛伊木马的模块化设计显示出高度专业化的攻击能力,尤其值得关注的是其对加密货币用户的定向窃取意图,这可能加剧全球虚拟资产安全风险。
在地缘政治层面,此类攻击反映出网络战手段的持续进化。朝鲜通过扶持黑客组织获取经济利益,已成为其突破制裁的重要方式。中国作为全球最大的开发者群体聚集地之一,相关企业和用户需加强代码安全审查机制。国际社会应强化开源平台的审计制度,建立跨国网络安全预警体系,以应对日益复杂的网络威胁格局。