朝鮮國(guó)家支持的黑客組織"拉撒路集團(tuán)"（Lazarus Group）近期發(fā)起代號(hào)為"虛假面試"（ClickFake Interview）的新攻擊行動(dòng)，專門(mén)針對(duì)加密貨幣行業(yè)的求職者。該組織通過(guò)偽造的面試網(wǎng)站，在Windows和macOS系統(tǒng)上部署基于Go語(yǔ)言的后門(mén)程序"GolangGhost"。

此次行動(dòng)是此前已曝光的"傳染性面試"（Contagious Interview）攻擊活動(dòng)的升級(jí)版，顯示出該組織對(duì)加密貨幣生態(tài)系統(tǒng)的持續(xù)關(guān)注與戰(zhàn)術(shù)進(jìn)化。拉撒路集團(tuán)自2009年起活躍至今，長(zhǎng)期從事網(wǎng)絡(luò)間諜和金融犯罪活動(dòng)，為朝鮮導(dǎo)彈與核計(jì)劃提供資金支持。2017年后，該組織顯著加強(qiáng)了對(duì)加密貨幣實(shí)體的攻擊，采用惡意軟件、供應(yīng)鏈攻擊、木馬化應(yīng)用程序及虛假職位招聘等多種手段。

2025年3月，該組織從阿聯(lián)酋交易所Bybit竊取15億美元，制造了加密貨幣史上最大規(guī)模的黑客事件，凸顯其攻擊手段日趨成熟。

"虛假面試"攻擊手法解析

"虛假面試"行動(dòng)沿用了"傳染性面試"的戰(zhàn)術(shù)框架——后者曾通過(guò)LinkedIn或X（原Twitter）等平臺(tái)，以虛假面試為誘餌針對(duì)軟件開(kāi)發(fā)人員發(fā)起攻擊。

在新攻擊中，攻擊者使用ReactJS構(gòu)建高度仿真的面試網(wǎng)站，通過(guò)動(dòng)態(tài)加載JavaScript文件模擬正規(guī)招聘流程。受害者被要求填寫(xiě)表格、回答加密貨幣相關(guān)問(wèn)題，并開(kāi)啟攝像頭進(jìn)行"面試"。在關(guān)鍵環(huán)節(jié)，網(wǎng)站會(huì)彈出錯(cuò)誤提示，誘騙用戶下載所謂的驅(qū)動(dòng)程序或腳本，從而觸發(fā)感染鏈。

感染鏈根據(jù)操作系統(tǒng)存在差異：

• Windows系統(tǒng)：通過(guò)Visual Basic腳本（VBS）下載基于NodeJS的惡意負(fù)載（nvidia.js），將惡意組件釋放至臨時(shí)目錄。后門(mén)程序通過(guò)注冊(cè)表鍵值實(shí)現(xiàn)持久化，最終由批處理文件靜默啟動(dòng)GolangGhost后門(mén)。
• macOS系統(tǒng)：Bash腳本（coremedia.sh）在下載惡意文件的同時(shí)，會(huì)創(chuàng)建啟動(dòng)代理plist文件實(shí)現(xiàn)持久化。在部署GolangGhost前，名為"FrostyFerret"的信息竊取程序會(huì)通過(guò)仿冒Chrome界面竊取系統(tǒng)密碼。

GolangGhost后門(mén)具備跨平臺(tái)的遠(yuǎn)程控制與數(shù)據(jù)竊取能力，可執(zhí)行Shell命令、上傳下載文件、通過(guò)HackBrowserData竊取瀏覽器數(shù)據(jù)，以及收集系統(tǒng)憑證等敏感信息。該惡意軟件使用RC4加密與C2服務(wù)器通信，并通過(guò)臨時(shí)文件存儲(chǔ)唯一標(biāo)識(shí)符確保單實(shí)例運(yùn)行。

集中式金融平臺(tái)成主要目標(biāo)

對(duì)偽造面試網(wǎng)站的分析顯示，拉撒路集團(tuán)主要針對(duì)Coinbase、Kraken、Bybit和Robinhood等集中式金融（CeFi）平臺(tái)。與早期側(cè)重去中心化金融（DeFi）的攻擊不同，這一轉(zhuǎn)變符合朝鮮黑客組織對(duì)依賴中介交易的CeFi平臺(tái)日益增長(zhǎng)的興趣。

值得注意的是，這些虛假招聘廣告專門(mén)針對(duì)非技術(shù)崗位（如業(yè)務(wù)發(fā)展經(jīng)理、資產(chǎn)管理專員等），這類人員通常在面試過(guò)程中更難察覺(jué)異常。攻擊鏈高度依賴短時(shí)間內(nèi)連續(xù)執(zhí)行的命令序列，可通過(guò)Sigma關(guān)聯(lián)規(guī)則或Sekoia操作語(yǔ)言（SOL）查詢等工具監(jiān)測(cè)異常腳本執(zhí)行行為進(jìn)行防御。例如：

text`events | where timestamp >= ago(7d) | where process.command_line contains~ "temp" | where process.name in ["curl.exe", "powershell.exe", "wscript.exe"] | aggregate cmd_line = make_set(process.command_line) by host.name, process.parent.pid `

此外，檢查注冊(cè)表中是否存在包含cmd.exe的可疑鍵值也有助于識(shí)別受感染系統(tǒng)。

"虛假面試"行動(dòng)再次證明了拉撒路集團(tuán)針對(duì)加密貨幣實(shí)體的攻擊適應(yīng)能力。通過(guò)虛假招聘和"ClickFix"等新型攻擊手法，該組織持續(xù)對(duì)全球集中式金融平臺(tái)構(gòu)成重大威脅。

其針對(duì)非技術(shù)員工的新策略，顯示出該組織正試圖通過(guò)安全意識(shí)較弱的目標(biāo)實(shí)現(xiàn)攻擊突破，同時(shí)保持為朝鮮政權(quán)獲取資金的終極目標(biāo)。