北韩的Graphalgo活动使用假工作测试模式来传播恶意软件

雅加达 - 一项与朝鲜威胁行为者有关的网络活动被揭露，该活动使用虚假招聘广告模式向软件开发人员传播恶意软件。该行动被称为Graphalgo，据报道，它针对JavaScript和Python专业人员，特别是那些在加密领域有经验的人。

ReversingLabs的报告称，该活动自2025年5月以来一直活跃。攻击者伪装成区块链和加密交易公司，然后通过LinkedIn，Facebook和Reddit等平台发布虚假的招聘广告。

有兴趣的申请者被要求完成技术测试，作为招聘过程的一部分。通常，这项任务涉及调试或改进看似合法和专业的示例项目。然而，在项目背后，隐藏着危险的依赖项，并上传到受信任的存储库，如npm和PyPI。

当受害者运行该项目时，危险的依赖关系将远程访问木马（RAT）安装到系统中。恶意软件使攻击者完全控制受感染的设备，而受害者毫不知情。

根据发现，至少有192个与Graphalgo操作相关的恶意包。在其中一个案例中，名为bigmathutils的包最初是干净的，直到版本1.1.0，然后它被注入了一个危险的有效载荷。之后，该包被删除以避免进一步的检测。

RAT 安装可以执行各种危险活动，包括显示正在运行的进程列表，执行任意命令，提取文件，下载和运行额外的有效载荷。恶意软件还检查受害者浏览器中是否存在MetaMask加密钱包扩展，这表明了攻击背后的财务动机。

恶意软件和控制服务器之间的通信使用受保护的基于令牌的方法进行，因此难以通过安全系统进行外部监控。

网络安全专家认为，Graphalgo行动可能与Lazarus组织有关，Lazarus组织长期以来一直与朝鲜联系在一起，并以积极进行基于社交工程的攻击和虚假招聘计划而闻名。

此案再次提醒开发人员在安装之前始终彻底验证软件包和依赖项，包括检查软件库中的版本历史记录，发布者的声誉以及可疑的更新活动。