假招聘者在开发者编码挑战中隐藏恶意软件

Source: Slashdot

概览

“北朝鲜威胁组织的假招聘者活动出现了新变种，针对 JavaScript 和 Python 开发者发布与加密货币相关的任务，”《The Register》报道。

软件供应链安全公司 ReversingLabs 的研究人员称，威胁行为者会在区块链和加密交易领域创建假公司，并在 LinkedIn、Facebook、Reddit 等平台上发布招聘信息。应聘者需要通过运行、调试和改进指定项目来展示自己的技能。攻击者的目标是让受害者执行恶意代码。

攻击机制

• 该活动涉及 192 个恶意包，发布在 npm 和 PyPI 注册表中。
• 这些包会下载一个远程访问木马（RAT），该木马能够：
  • 窃取文件，
  • 投放额外负载，
  • 执行来自指挥控制服务器的任意命令。

案例研究：bigmathutils

在 ReversingLabs 的报告中，名为 bigmathutils 的包拥有约 10,000 次下载，在 1.1.0 版本之前是良性的，但该版本引入了恶意负载。随后，威胁行为者将该包标记为不再维护并删除，以掩盖其活动。

该 RAT 会检查受害者浏览器中是否安装了 MetaMask 加密货币扩展，以此判断其盗取金钱的动机。

变种及覆盖范围

ReversingLabs 识别出多种用以下语言编写的变种：

• JavaScript
• Python
• Visual Basic Script (VBS)

这种广度表明攻击者意在针对各种开发者。

时间线

该活动自 2025 年 5 月 起即已活跃。

参考资料

• 上述《The Register》文章
• ReversingLabs 报告（关于恶意包的详细信息）
• 原始故事见 Slashdot