恶意软件团伙招募朝鲜IT人员渗透企业网络

与朝鲜结盟的恶意软件运营者与隐蔽IT工作者建立了复杂的合作关系，以全球企业组织为目标。这一合作在Virus Bulletin 2025会议上发布的白皮书中详细阐述，揭示了DeceptiveDevelopment网络犯罪集团与WageMole活动集群相互交织的操作，展现了一种将网络盗窃工具与欺诈性就业计划相结合的混合威胁。

恶意软件操作分析

DeceptiveDevelopment至少自2023年开始活跃，专注于通过社交工程获取经济利益。其运营者在LinkedIn、Upwork和Freelancer等平台上冒充招聘人员，用虚假工作机会和编程挑战引诱软件开发人员。受害者从私有的GitHub或Bitbucket仓库下载木马化代码，触发BeaverTail信息窃取器，该窃取器能够窃取加密货币钱包、浏览器凭证和钥匙串数据。

BeaverTail变种还包括基于JavaScript演进的OtterCookie，以及基于Python的模块化远程访问工具InvisibleFerret，提供远程控制、键盘记录和剪贴板窃取功能。

2024年中，DeceptiveDevelopment推出了WeaselStore——一个用Go和Python编写的多平台信息窃取器，以源代码加Go环境二进制文件的形式分发。一旦受害者构建并执行，WeaselStore不仅提取敏感数据，还与其命令控制服务器保持持久通信。

到2024年底，DeceptiveDevelopment推出了TsunamiKit，这是一个复杂的.NET间谍软件和加密货币挖矿工具包，其组件——TsunamiLoader、TsunamiInjector、TsunamiHardener、TsunamiInstaller和TsunamiClient——协同工作，安装XMRig和NBMiner矿工并规避检测。

与朝鲜APT组织的关联

研究人员进一步将DeceptiveDevelopment与朝鲜国家支持的APT组织联系起来，发现了Tropidoor，这是一个64位Windows DLL下载器，与Lazarus组织的PostNapTea后门共享大量代码。Tropidoor复杂的API解析、加密例程和命令实现具有Lazarus专业知识的特征，表明犯罪软件和专注于间谍活动的行为者之间存在代码重用和协作。

隐蔽IT工作者渗透

与这些恶意软件操作并行，被称为WageMole集群的朝鲜隐蔽IT工作者已经渗透到企业招聘流程中。至少自2017年以来，冒充远程员工的受制裁个人已在外国公司获得职位，将工资汇给朝鲜政权提供资金。这些工作者使用被盗身份、代理面试官和AI生成的合成身份来绕过筛选。他们操纵个人资料照片，伪造简历，甚至在视频面试中使用实时换脸技术。一旦潜入，他们就窃取内部数据用于勒索或间谍活动。

威胁关联分析

开源情报研究揭示了DeceptiveDevelopment和WageMole之间的交易联系：虚假招聘者资料和IT工作者角色经常共享电子邮件账户、相互关注和代码仓库。公开暴露的GitHub数据和受害者证词详细说明了IT工作者的日程安排、客户沟通和工作配额——有时被独立研究人员和社交媒体侦探泄露。这些材料显示，基于中国、俄罗斯和东南亚的团队每天在区块链、Web开发和AI集成等远程任务上花费长达16小时。

防御建议

这种社交工程驱动的恶意软件和就业欺诈计划的融合构成了混合威胁。DeceptiveDevelopment的高容量、低复杂度工具集被人为操作的IT工作者活动放大，模糊了网络犯罪和间谍活动之间的界限。代理面试带来了新的风险：无意中雇佣受感染候选人的组织可能面临将访问权限与恶意意图相结合的内部威胁。

防御者必须通过将招聘审查整合到其威胁模型中来适应这种不断变化的形势。安全团队应该：

• 通过多因素验证和生物识别检查验证候选人身份
• 监控招聘平台上的虚假账户和异常活动
• 对任何工作分配工件进行彻底的代码审查
• 实施强大的端点监控以检测信息窃取器和RAT行为

DeceptiveDevelopment-WageMole合作强调了更广泛生态系统意识的必要性。专注于边界安全的传统防御无法完全解决利用人工工作流程和欺诈性就业的威胁。结合技术控制、威胁情报共享和人力资源协作的整体方法对于阻止这种新兴的混合威胁至关重要。