与朝鲜有关的黑客组织Lazarus Group已经调整了其战术，目标锁定加密货币行业的求职者，特别是在中心化金融（CeFi）领域，采用一种名为'ClickFix'的方法。这种新方法是他们之前'Contagious Interview'活动的改进版，现在侧重于市场营销和业务发展等非技术岗位，以伪装成主要的加密货币公司。该组织创建虚假的职位申请门户，以吸引候选人，诱使他们在假装进行故障排除的情况下运行PowerShell命令，从而下载恶意软件。这一战术利用了加密行业求职者的职业抱负。此外，联邦调查局（FBI）已将对Bybit的价值15亿美元的攻击归咎于Lazarus，该攻击中使用虚假工作邀请在员工电脑上安装恶意软件。

SEKOIA

最近，Sekoia发布的网络安全报告揭示了与朝鲜相关的臭名昭著黑客组织Lazarus Group所带来的不断演变的威胁。该组织现在正在利用一种被称为“ClickFix”的战术，专门针对加密货币行业的求职者，尤其是集中金融（CeFi）领域。这种方法标志着该组织早期以“Contagious Interview”为主题的活动的调整，后者之前主要针对人工智能和加密相关职位的开发者和工程师。<h2>Lazarus利用加密招聘</h2>在新观察到的活动中，Lazarus将重点转向非技术专业人士，例如市场营销和商业发展人员，伪装成主要的加密公司，如Coinbase、KuCoin、Kraken，甚至稳定币发行商Tether。攻击者建立伪造的网站，模仿求职申请门户，并通过虚假的面试邀请吸引候选人。这些网站通常包含逼真的申请表格，甚至要求进行视频介绍，从而营造出一种合法性。然而，当用户尝试录制视频时，他们会看到一个虚构的错误信息，通常暗示网络摄像头或驱动程序故障。页面随后提示用户在故障排除的幌子下运行PowerShell命令，从而触发恶意软件的下载。尽管这种ClickFix方法相对较新，但由于其心理上的简单性，正变得越来越普遍——因为用户认为自己是在解决技术问题，而不是在执行恶意代码。根据Sekoia的说法，该活动借用了184个虚假面试邀请的材料，参考了至少14家知名公司，以增强可信度。因此，最新的战术展示了Lazarus在社会工程学方面日益增长的复杂性，以及其利用竞争激烈的加密招聘市场中个人职业抱负的能力。有趣的是，这一转变也暗示该组织正在扩展其目标标准，不仅瞄准那些有代码或基础设施访问权限的人，还包括那些可能处理敏感内部数据或无意中促成安全漏洞的人。尽管出现了ClickFix，Sekoia报告称，原始的Contagious Interview活动仍在进行中。这种策略的并行部署表明，北朝鲜的国家资助集体可能正在测试它们的相对有效性或针对不同目标人群调整战术。在这两种情况下，这些活动都有一个一致的目标——通过可信渠道传递窃取信息的恶意软件，并操纵受害者自我感染。<h2>Lazarus与Bybit黑客事件</h2>联邦调查局(FBI)正式将对Bybit的15亿美元攻击归因于Lazarus Group。针对该加密货币交易所的黑客利用虚假的工作机会欺骗员工安装名为“TraderTraitor”的受污染交易软件。尽管这些应用程序通过跨平台的JavaScript和Node.js开发看起来很真实，但它们嵌入了旨在窃取私钥并在区块链上执行非法交易的恶意软件。

Lazarus Group 针对 CeFi 求职者发布 'ClickFix' 恶意软件