加密货币开发者遭伪装成编程挑战的 Python 恶意软件攻击

HackerNews 编译，转载请注明出处：   与朝鲜有关的威胁行为者被认为是2025年2月Bybit大规模黑客攻击的幕后黑手，如今又被发现与一场针对开发者的恶意活动有关。该活动以编程任务为幌子，传播新型窃密恶意软件。 Palo Alto Networks的Unit 42团队将这一活动归因于其追踪的黑客组织“Slow Pisces”，该组织也被称为Jade Sleet、PUKCHONG、TraderTraitor和UNC4899。 “Slow Pisces在LinkedIn上与加密货币开发者接触，伪装成潜在雇主，并发送伪装成编程挑战的恶意软件，”安全研究员Prashil Pattni表示，“这些挑战要求开发者运行一个被篡改的项目，利用我们命名为RN Loader和RN Stealer的恶意软件感染他们的系统。” Slow Pisces有针对开发者的先例，通常是在加密货币领域，他们通过LinkedIn以工作机会为名接触开发者，诱使他们打开一个托管在GitHub上、详细介绍编程任务的PDF文件。 2023年7月，GitHub披露，从事区块链、加密货币、在线赌博和网络安全行业的员工被该威胁行为者盯上，欺骗他们运行恶意的npm软件包。 2024年6月，谷歌旗下的Mandiant详细描述了攻击者的作案手法：他们首先在LinkedIn上向目标发送一份看似无害、包含工作描述的PDF文件，声称是某个工作机会的介绍；如果目标表现出兴趣，再发送一份技能调查问卷。 这份问卷要求目标通过从GitHub下载一个被篡改的Python项目来完成编程挑战。该项目表面上可以查看加密货币价格，但如果满足某些条件，它会联系远程服务器以获取一个未指明的第二阶段载荷。 Unit 42记录的多阶段攻击链采用了相同的手法，恶意载荷仅发送给经过验证的目标，很可能是基于IP地址、地理位置、时间以及HTTP请求头信息。 “与广泛撒网的网络钓鱼活动不同，该组织专注于通过LinkedIn联系个人，这使得他们能够严格控制活动的后续阶段，仅向预期受害者提供载荷，”Pattni表示，“为了避免引起怀疑的eval和exec函数，Slow Pisces使用YAML反序列化来执行其载荷。” 该载荷被配置为执行名为RN Loader的恶意软件家族，它通过HTTPS将受害机器和操作系统的相关信息发送到同一服务器，并接收并执行一个经过Base64编码的下一阶段数据块。 新下载的恶意软件是RN Stealer，一种能够从受感染的苹果macOS系统中窃取敏感信息的信息窃密工具。这些信息包括系统元数据、已安装的应用程序、目录列表，以及受害者主目录、iCloud钥匙串、存储的SSH密钥以及AWS、Kubernetes和谷歌云的配置文件的顶层内容。 “信息窃密工具收集了更详细的受害者信息，攻击者很可能会利用这些信息来判断是否需要继续访问，”Unit 42表示。 同样，针对申请JavaScript职位的受害者，他们被要求从GitHub下载一个“加密货币仪表盘”项目，该项目采用了类似的策略：只有当目标满足某些条件时，命令与控制（C2）服务器才会提供额外的载荷。然而，载荷的确切性质尚不清楚。 “该仓库使用了嵌入式JavaScript（EJS）模板工具，将C2服务器的响应传递给ejs.render()函数，”Pattni指出，“就像使用yaml.load()一样，这是Slow Pisces用来隐藏其C2服务器上任意代码执行的另一种手段，而这种方法或许只有在查看有效载荷时才会显现出来。” Jade Sleet是众多朝鲜威胁活动集群之一，这些集群利用工作机会主题作为恶意软件传播载体，其他类似的活动包括“梦幻工作行动”（Operation Dream Job）、“传染性面试”（Contagious Interview）和“诱人比目鱼”（Alluring Pisces）。 “这些组织之间没有操作上的重叠。然而，这些活动使用类似的初始感染向量是值得注意的，”Unit 42总结道，“Slow Pisces在行动安全方面与同行的活动有所不同。每个阶段的载荷交付都受到严格保护，仅存在于内存中。而且该组织的后期工具仅在必要时才会部署。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文