朝鲜DeceptiveDevelopment行动:针对企业的恶意软件与社交工程攻击
网络犯罪分子与朝鲜秘密IT人员合作,开展名为“DeceptiveDevelopment”的混合行动。该活动自2023年起活跃,通过虚假招聘和面试流程攻击开发者——特别是加密货币和Web3领域的开发者——覆盖Windows、Linux和macOS系统。行动结合凭证窃取和内部人员安置方案,以最大化影响。
据WeLiveSecurity研究人员称:“该行动的创新和重点在于社交工程方法。”
双重欺骗:招聘人员和内部人员协同工作
这不是典型的网络钓鱼浪潮。该行动在两条轨道上运作:恶意软件操作者伪装成招聘人员感染求职者,而朝鲜IT人员——WageMole集群——重复使用被盗身份获取合法的远程工作,从而持久访问企业代码、基础设施和资金。
目标包括软件工程师、加密货币项目和Web3团队,这增加了源代码盗窃、钱包泄露和供应链渗透的风险。
从虚假面试到全系统控制
DeceptiveDevelopment依赖精细的社交工程,包括ClickFix技术,即引导候选人访问逼真的“面试”门户网站,填写冗长的申请表。在最后一步,模拟的摄像头访问错误会触发特定操作系统的“故障排除”命令,实际上这些命令会下载并执行恶意软件。
工具集跨平台且模块化:第一阶段BeaverTail和OtterCookie(JS/C++变体)收集浏览器、钱包和凭证数据,并获取基于Python的InvisibleFerret RAT。Go/Python信息窃取程序WeaselStore扩展了数据外泄和远程控制功能,而.NET TsunamiKit框架增加了间谍软件、加密货币挖矿、持久化和Defender排除功能。
研究人员还将DeceptiveDevelopment与Tropidoor(与Lazarus的PostNapTea共享血统)和2025年TCP RAT变体AkdoorTea联系起来,后者与特洛伊化的NVIDIA主题工件打包在一起。
攻击复杂度为低到中等,但操作复杂度高:逼真的招聘人员角色、制造承诺偏见的长表格,以及规避基础意识培训的针对操作系统定制的执行链。与此同时,WageMole操作者使用被盗或合成身份(通常借助AI辅助照片/面部交换)获取职位,有时还借助代理面试官和工资分享安排。
防御DeceptiveDevelopment
人员与流程
- 招聘控制:通过重复、跨渠道检查验证候选人身份;要求实时活体/视频匹配;禁止在面试期间从网页执行终端命令。
- 供应商和自由职业者尽职调查:验证作品集、代码历史记录和设备来源;默认限制承包商访问权限。
技术控制
- 端点防御:检测脚本化终端单行命令、curl/wget + bash/PowerShell链以及即时Go/Node构建工具下载。阻止面试设备执行未签名脚本。
- 网络与身份:执行最小权限、即时访问和强多因素认证;隔离构建系统和密钥;监控“新员工”的异常访问和异常来源位置。
- 威胁情报与检测:添加对恶意软件行为的检测(钱包/钥匙串访问、浏览器凭证转储、Defender排除更改、挖矿程序投放)。搜寻TOR/加密货币挖矿指标和可疑.NET加载程序。
- 取证与事件响应:通过浏览器凭证存储审查、钱包插件检查、自启动/持久化审计和承包商账户日志分析进行事件分类。
更大图景:间谍活动与网络犯罪交汇
DeceptiveDevelopment展示了网络犯罪和APT手法如何融合:可扩展的社交工程与内部人员安置相结合,模糊了金融盗窃和间谍活动之间的界限。通过武器化合法招聘流程并辅以AI支持的身份伪造,对手可以绕过边界控制并获得长期访问权限。随着这些策略被证明有利可图,预计会出现模仿者和工具集 franchised。
DeceptiveDevelopment中社交工程和内部访问的结合,解释了为什么企业越来越多地转向零信任框架。