朝鲜黑客利用区块链恶意软件发动网络攻击

思科Talos与谷歌威胁情报组最新研究显示，朝鲜背景的黑客正利用去中心化恶意软件工具升级网络攻击行动。

攻击者通过精心设计的虚假招聘骗局，意图窃取加密货币、渗透网络系统并规避安全检测。

恶意软件技术进化揭示能力扩张

思科Talos研究人员发现朝鲜黑客组织"Famous Chollima"持续发动的攻击行动。该组织使用BeaverTail和OtterCookie两款互补型恶意软件，这些原本用于凭证窃取和数据外泄的工具，现已升级为具备新功能且协同性更强的版本。

在斯里兰卡某机构的案例中，攻击者诱骗求职者安装伪装成技术评估程序的恶意代码。虽然该机构并非直接目标，但思科Talos分析师发现了与OtterCookie关联的键盘记录和屏幕截图模块，凸显虚假招聘对个人的广泛威胁。该模块会秘密记录键盘输入并截取桌面图像，自动传输至远程指令服务器。

这一发现印证了朝鲜黑客组织持续进化的社会工程学攻击手段。

区块链被用作指令控制基础设施

谷歌威胁情报组(GTIG)追踪到朝鲜黑客UNC5342使用新型恶意软件EtherHiding。该工具将恶意JavaScript负载隐藏在公有区块链上，使其成为去中心化的指令控制(C2)网络。

借助区块链技术，攻击者可远程修改恶意软件行为而无需传统服务器，极大增加了执法部门的取缔难度。GTIG报告显示，UNC5342通过名为"传染性面试"的社会工程活动部署EtherHiding——该活动此前已被Palo Alto Networks发现，证实朝鲜黑客的持续性威胁。

瞄准求职者窃取加密货币与数据

谷歌研究人员指出，这类攻击通常始于针对加密货币和网络安全行业专业人士的虚假招聘广告。受害者被诱导参与伪造的资质评估，期间下载嵌有恶意代码的文件。

感染链往往涉及JadeSnow、BeaverTail和InvisibleFerret等多个恶意软件家族，形成从系统入侵、凭证窃取到勒索软件部署的完整攻击闭环。最终目标包括间谍活动、资金窃取及长期网络渗透。

思科与谷歌已发布入侵指标(IOCs)，帮助机构检测和应对朝鲜关联的网络威胁。研究人员警告，区块链技术与模块化恶意软件的融合将持续增加全球网络安全防御的复杂性。