The Last 24 Hours | 安全无小事

朝鲜特工冒充 LinkedIn 专业人士渗透公司

2026/2/10 威胁情报 The Hacker News

信息技术(IT)工作者与朝鲜民主主义人民共和国(DPRK)关联,现在使用他们冒充的真实 LinkedIn 账户申请远程职位,标志着该欺诈计划的新升级。

“这些个人资料通常拥有已验证的工作邮箱和身份徽章,朝鲜特工希望借此让他们的欺诈性申请看起来合法,”安全联盟(SEAL)在 X 上的一系列帖子中表示。

IT 工作者威胁是一次长期运行的行动,北朝鲜的特工冒充远程工作者,以被盗或伪造的身份在西方公司及其他地区获取职位。该威胁也被更广泛的网络安全社区标记为 Jasper Sleet、PurpleDelta 和 Wagemole。

这些行动的最终目标是双重的:为国家的武器计划提供持续的收入来源,窃取敏感数据进行间谍活动,并在某些情况下通过勒索来防止信息泄露。

上月,网络安全公司 Silent Push 将 DPRK 远程工作者计划描述为政权的“高产收入引擎”,使威胁行为者能够获取敏感代码库的管理权限,并在企业基础设施中建立“活在土地上”的持久性。

“一旦他们的工资到账,朝鲜 IT 工作者会通过各种洗钱手段转移加密货币,”区块链分析公司 Chainalysis 在 2025 年 10 月的报告中指出。

“IT 工作者以及他们的洗钱伙伴通过链跳转和代币交换等方式,利用去中心化交易所和桥接协议等智能合约,打断链上资金的来源与去向关联,增加追踪难度。”

为了应对该威胁,怀疑自己的身份被用于欺诈性求职申请的个人应考虑在社交媒体上发布警告,并列出官方沟通渠道和验证方式(例如公司邮箱)。

“始终验证候选人提供的账户是否由其提供的电子邮件控制,”安全联盟说。“像让他们在 LinkedIn 上与你连接这样简单的检查即可验证账户所有权。”

挪威警察安全局(PST)发布了警告,称过去一年中有“若干案例”显示挪威企业受到 IT 工作者计划的影响。

“这些企业被欺骗雇佣了可能是北朝鲜 IT 工作者的居家办公人员,”PST 上周表示。“这些员工通过此类职位获得的薪资收入可能用于为该国的武器和核武器计划提供资金。”

与 IT 工作者计划并行的另一社交工程活动被称为“传染面试”,其利用假冒招聘流程在 LinkedIn 上向目标发送工作邀请,诱导其完成技能评估,最终执行恶意代码。

在一次针对技术人员的招聘冒充活动中,威胁行为者要求候选人克隆 GitHub 仓库并运行命令安装 npm 包,以触发恶意软件执行。

“该活动还使用了 EtherHiding,这是一种利用区块链智能合约托管和检索指挥控制基础设施的创新技术,使恶意载荷更难被 takedown,”安全研究员 Ori Hershko 说。“这些步骤触发了隐藏在项目中的恶意代码执行,导致恶意软件下载并在受害者系统上运行,为攻击者提供立足点。”

最近几个月,新的“传染面试”变体使用恶意的 Microsoft VS Code 任务文件执行伪装成网页字体的 JavaScript 恶意软件,最终部署 BeaverTail 和 InvisibleFerret,实现对加密货币钱包和浏览器凭证的持久访问和窃取。

另一个由 Panther 记录的入侵变体涉嫌使用恶意 npm 包部署名为 Koalemos 的模块化 JavaScript 远程访问木马(RAT),通过加载器实现 DNS 基于执行门控和日期验证后下载并以独立进程运行。

Koalemos 支持 12 种命令,可进行文件系统操作、文件传输、运行发现指令(如 whoami)以及执行任意代码。

“初始加载器在下载并生成 RAT 模块前执行基于 DNS 的执行门控和参与日期验证,”安全研究员 Alessandra Rizzo 说。“Koalemos 执行系统指纹识别,建立加密指挥控制通信,并提供完整的远程访问能力。”

CrowdStrike 透露,著名的北朝鲜黑客组织 Labyrinth Chollima 已演变为三个具有不同目标和作战手法的子群体:核心 Labyrinth Chollima、Golden Chollima(亦称 AppleJeus、Citrine Sleet、UNC4736)以及 Pressure Chollima(亦称 Jade Sleet、TraderTraitor、UNC4899)。

需要注意的是,Labyrinth Chollima、Andariel 和 BlueNoroff 被视为 Lazarus Group(又名 Diamond Sleet 和 Hidden Cobra)内部的子集,BlueNoroff 进一步分裂为 TraderTraitor 和 CryptoCore(亦称 Sapphire Sleet)。

尽管这些子群体在组织上更为独立,但它们仍共享工具和基础设施,表明 DPRK 网络部队内部仍有中心化的协调与资源分配。Golden Chollima 侧重于在经济发达地区进行持续的小规模加密货币盗窃,而 Pressure Chollima 则针对拥有大量数字资产的组织进行高价值劫掠并植入高级植入物。

与此同时,Labyrinth Chollima 的行动动机是网络间谍,使用如 FudModule 根套件等工具实现隐蔽。该根套件也与“梦之工作”行动相关,这是另一场以招聘为中心的社交工程活动,旨在投放恶意软件进行情报收集。

“共享的基础设施和工具交叉使用表明这些单位保持紧密协作,”CrowdStrike 表示。“三者在供应链攻击、人力资源主题的社交工程、木马化合法软件以及恶意 Node.js 和 Python 包等方面的作战手法极为相似。”

  • Koalemos
  • EtherHiding
  • FudModule