网络安全周报第36期 | 俄罗斯黑客悬赏与区块链恶意软件新趋势

本周网络安全事件聚焦美国悬赏1000万美元通缉俄罗斯FSB黑客,揭露新型npm恶意软件利用以太坊智能合约分发恶意载荷,以及朝鲜黑客组织利用威胁情报平台管理攻击活动的最新威胁态势。

The Good | 美国悬赏1000万美元通缉三名俄罗斯FSB威胁分子

美国国务院宣布悬赏高达1000万美元,征集三名被指控策划针对美国关键基础设施网络攻击的俄罗斯联邦安全局(FSB)官员的信息。这些官员——Marat Valeryevich Tyukov、Mikhail Mikhailovich Gavrilov和Pavel Aleksandrovich Akulov——被认为与FSB的第16中心(又称第71330军事单位)有关联。

同一三人组还曾在2022年3月因一项长期活动(2012-2017年)被起诉,该活动针对美国政府机构,包括核管理委员会和多家能源公司。其中一家公司Wolf Creek Nuclear Operating Corporation在堪萨斯州伯灵顿运营一座核电站。根据国务院的说法,Tyukov、Gavrilov和Akulov的行动还延伸至其他135个国家超过500家外国能源公司。

就在几周前,FBI警告称,这些攻击者在过去一年中一直在利用旧版思科网络设备中的CVE-2018-0171漏洞。该漏洞允许攻击者在未打补丁的系统上远程执行代码,从而入侵美国关键基础设施领域的多家公司。该网络公司已发布补丁修复该漏洞,并敦促网络管理员更新其设备。

与FSB有关的组织长期以来一直以美国州、地方、部落和航空实体为目标。可通过国务院基于Tor的“正义赏金”渠道匿名提交线索,线人可能获得重新安置。

The Bad | 以太坊智能合约驱动新型npm恶意软件分发活动

两个新发现恶意npm包正在使用以太坊智能合约来隐藏和分发恶意软件,凸显了软件供应链攻击中攻击者策略的演变。这两个包colortoolsv2和mimelib2于2025年7月上传,随后被删除。

根据安全研究人员的说法,这些包一旦被导入项目,就会触发从攻击者控制的服务器获取第二阶段有效载荷的代码。虽然这些包因其恶意功能很容易暴露,但导入它们的GitHub项目使它们对毫无戒心的用户显得可信。这次行动的不同之处在于它使用以太坊智能合约来托管有效载荷分发的URL,这种方法让人联想到EtherHiding技术。通过利用去中心化的区块链基础设施,攻击者可以更好地隐藏其命令与控制(C2)机制并避免被取缔。

区块链上看到的智能合约(来源:ReveringLabs)

进一步调查将这些npm包与一个更广泛的活动联系起来,该活动涉及伪装成加密货币交易工具的虚假GitHub仓库,包括solana-trading-bot-v2、ethereum-mev-bot-v2和hyperliquid-trading-bot。这些仓库都虚假宣传自动交易能力,针对开发者和加密货币爱好者。与此活动相关的账户连接到一个名为“Stargazers Ghost Network”的分发即服务(DaaS)集群,该集群以通过虚假星标、分支和提交来操纵仓库知名度而闻名。

这些事件指向一个更广泛的趋势:与加密货币相关的供应链攻击正在加速并变得更加复杂。随着威胁行为者利用区块链技术分发恶意软件,敦促开发者在评估库时超越表面指标,并严格审查开源和第三方代码是否有篡改迹象。主动审查,包括不仅查看下载量和提交历史,还包括维护者的可信度,仍然是防御隐藏在可信仓库中恶意软件的第一道防线。

The Ugly | 朝鲜威胁分子利用网络威胁情报工具管理攻击活动

SentinelLABS和Validin披露,与朝鲜结盟的威胁行为者,即“Contagious Interview”活动集群的背后黑手,积极监控网络威胁情报(CTI)平台以跟踪其基础设施的暴露情况并搜寻新资产。这些行为者以协调的团队运作,通过Slack等常见企业工具进行通信,同时利用Validin、VirusTotal和Maltrail等来源为其行动提供信息。

尽管他们认识到其基础设施可被检测到,但这些行为者仅进行有限的修改以隐藏它。相反,他们专注于在服务提供商取缔后快速部署新资产,保持高受害者参与度,而不是维护旧基础设施。这种方法既反映了资源限制,也反映了内部激励,因为分散的团队竞争保护个体资产而不是协调大规模安全更新。

在2025年1月至3月期间,SentinelLABS识别了超过230名受害者,其中大多数是加密货币专业人士,但实际数字可能更高。目标通过虚假工作邀约被引诱,使用ClickFix社会工程技术,该技术操纵候选人在评估或故障排除错误的幌子下运行恶意命令。

Contagious Interview受害者分析(来源:SentinelLABS)

路透社的伴随报道强调了这些骗局在加密货币行业已变得普遍。对受害者(包括开发者、顾问和高管)的采访证实了欺诈性邀约的复杂性以及遭受的财务损失。该报道人性化了该活动的影响和广度,显示了平壤支持的行为者如何利用信任和专业网络窃取数字资产。

有效的缓解需要求职者(尤其是加密货币行业的求职者)保持警惕,同时服务提供商主动破坏恶意基础设施。密切合作、情报共享和媒体曝光对于减少这些活动的影响范围和影响也至关重要。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次