朝鮮黑客攻擊超過3100個IP地址，涉嫌人工智能、加密貨幣和金融求職詐騙。

朝鮮黑客在 2025 年從加密貨幣市場竊取了超過 20 億美元之後，又捲土重來，發起了一場由名爲 PurpleBravo 的組織實施的虛假招聘活動。.

據 Recorded Future 旗下 Insikt Group 的最新威脅情報調查結果顯示，與朝鮮有關聯的黑客對 3100 多個與人工智能、加密貨幣和金融服務公司相關的互聯網地址發起了網絡間諜活動。. 

PurpleBravo被發現使用欺詐性招聘流程和嵌入惡意軟件的開發者工具。據Insikt Group評估，目前已dent20家受害機構，分別來自南亞、北美、歐洲、中東和中美洲。. 

朝鮮發起虛假招聘面試惡意軟件攻擊 

據解釋，“傳染性面試”攻擊活動中，不法分子冒充招聘人員或開發人員，通過技術面試題接近求職者。安全分析師表示，在監測期間，至少有 3136 個獨立 IP 地址成爲攻擊目標。

攻擊者僞裝成加密貨幣和技術公司的代表，要求候選人審查代碼、克隆存儲庫或完成編碼任務。. 

這家威脅情報公司在其報告中寫道：“在一些案例中，求職者很可能在企業設備上執行了惡意代碼，從而給組織造成了超出個人目標範圍的風險。”.

該行動在朝鮮黑客的私人和開源信息中都有多個別名，包括 CL-STA-0240、DeceptiveDevelopment、DEV#POPPER、Famous Chollima、Gwisin Gang、Tenacious Pungsan、UNC5342、Void Dokkaebi 和 WaterPlum。. 

該網絡安全組織還提到，黑客利用 Astrill VPN 和 IP 地址段來管理位於中國的命令與控制服務器。與此同時，17 家服務提供商爲他們託管了 BeaverTail 和 GolangGhost 等惡意軟件服務器。.

利用身份、GitHub 和烏克蘭掩護故事引誘受害者

Insikt Group 在調查惡意GitHub存儲庫、有關加密貨幣詐騙的社交媒體討論以及黑客網絡情報服務後，發現了與 PurpleBravo 有關的四個在線身份。

報告顯示，這些虛假賬號均顯示其位於烏克蘭敖德薩，但目標求職者卻來自南亞。Insikt 表示，目前尚無法確定爲何詐騙分子會使用烏克蘭dent信息。. 

在其中一個虛假項目中，黑客利用一個網站宣傳一種基於某食品品牌的代幣。然而，研究人員無法證實該代幣與其所指的公司之間存在任何關聯。詐騙分子、自動機器人和惡意鏈接充斥着該項目的官方 Telegram 頻道。

此外，此次行動還涉及兩種相關的遠程訪問木馬：PylangGhost 和 GolangGhost。這些惡意軟件家族是跨平臺工具，它們共享dent的命令，並自動竊取瀏覽器dent和 Cookie。.

GolangGhost 與多個操作系統兼容，但 PylangGhost 僅適用於 Windows 系統，並且可以繞過 Chrome 127 及更高版本中的應用程序綁定dent保護。.

Insikt Group發現一些Telegram頻道出售LinkedIn和Upwork賬號，賣家使用proxy-seller[.]com、powervps[.]net、dentialvps[.]com、lunaproxy[.]com和sms-activate[.]io等代理服務和虛擬專用服務器（VPS）來隱藏其真實位置。該運營者還被發現與加密貨幣交易平臺MEXC Exchange有互動。.

VS Code 在 Microsoft Visual Studio 中的後門

週一，Jamf威脅實驗室發佈報告稱，與朝鮮有關聯的黑客組織開發了一種武器化的微軟Visual Studio Code版本，該版本能夠查找系統中的後門。安全分析師表示，這種攻擊手段最早於2025年12月被dent，此後不斷改進。.

據 Jamf 安全研究員 Thijs Xhaflaire 稱，攻擊者可以植入惡意軟件，從而獲得在目標計算機上執行遠程代碼的權限。感染鏈始於目標克隆惡意 Git 倉庫並在 VS Code 中打開它。.

Thijs Xhaflaire 寫道：“當項目打開時，Visual Studio Code 會提示用戶信任存儲庫作者。如果授予信任，應用程序會matic處理存儲庫的 tasks.json 配置文件，這可能導致嵌入的任意命令在系統上執行。

通過指導和每日想法來完善您的策略 - 30 天免費訪問我們的交易計劃