虛假招聘面試成新武器，朝鮮黑客瞄準加密行業3100+個IP

朝鮮黑客組織PurpleBravo再度出手。繼2025年從加密貨幣市場竊取超過20億美元後，該組織在今年1月22日發起了一場規模龐大的假招聘活動，對3100多個與人工智慧、加密貨幣和金融服務公司相關的網路地址發起網路間諜攻擊。這一次，他們的入口方式更隱蔽：冒充招聘人員或開發者，透過虛假的技術面試誘導求職者在企業設備上執行惡意程式碼。

假招聘成為新的社工入口

攻擊手法的創新性

PurpleBravo的新型攻擊流程看似簡單，但效率很高。攻擊者首先冒充來自加密或科技公司的招聘人員，與求職者取得聯繫。然後以技術面試為由，要求目標完成一系列看似合理的任務：審查程式碼、克隆程式碼庫或完成程式設計任務。求職者在執行這些任務時，實際上是在運行黑客精心準備的惡意程式碼。

這個方法的巧妙之處在於利用了求職者的心理。面試任務看起來完全合理，而且求職者往往急於展現自己的能力，降低了警覺。對於企業來說，被攻擊的通常是具有一定技術能力的員工，這類員工往往擁有更高的系統權限。

伪裝和基礎設施

根據安全研究機構Recorded Future的分析，PurpleBravo使用了多個偽裝身份，其中包括虛假的烏克蘭身份。他們部署了兩種主要的遠端存取木馬工具：

• PylangGhost：能夠自動竊取瀏覽器憑證和Cookies
• GolangGhost：同樣具有憑證竊取能力

此外，黑客還開發了武器化的Microsoft Visual Studio Code，透過惡意Git存儲庫植入後門。他們的基礎設施相當完善，利用Astrill VPN和17個服務提供商來托管惡意軟體伺服器。

對加密行業的特殊威脅

為何加密行業成為重點目標

這次攻擊的3100多個目標中，加密貨幣公司佔據了顯著比例。這不是巧合。加密行業的員工通常掌握私鑰、錢包存取權限等高價值資產，一旦被攻破，黑客可以直接轉移資金。同時，加密公司的防禦往往不如傳統金融機構那樣成熟。

從已確認的20個受害機構來看，它們分布在南亞、北美、歐洲、中東和中美洲等地。這表明PurpleBravo在全球範圍內都有明確的目標。

額外的威脅信號

安全研究人員還發現，相關的Telegram頻道在售賣LinkedIn和Upwork帳號，而攻擊者曾與加密交易平台MEXC Exchange互動。這表明黑客可能在建立一條完整的供應鏈：取得真實身份資訊、建立虛假求職資料、執行攻擊、變現竊取的資產。

企業如何應對

防禦的關鍵點

對於加密公司和科技企業來說，防禦這類攻擊需要多層防線：

• 招聘流程驗證：透過官方渠道確認面試邀請，使用公司郵箱而非第三方郵件
• 員工訓練：讓技術人員了解社工攻擊的新型手法，即使看似合理的面試任務也要保持警覺
• 程式碼審查：對任何來自外部的程式碼進行嚴格審查，不要直接在生產環境執行
• 存取控制：限制員工設備的權限，使用隔離的虛擬機處理不信任的任務
• 監控告警：部署端點偵測與回應（EDR）工具，監控異常的憑證存取和網路連線

總結

假招聘面試代表了黑客社工手法的一個新方向。相比於傳統的釣魚郵件，這種方法更具針對性，利用求職者的心理和企業的招聘流程漏洞。對於加密行業來說，PurpleBravo的持續活動表明朝鮮黑客仍然將這個行業視為主要目標。企業需要認識到，高技能員工往往是最容易被利用的突破口，防禦的關鍵在於建立完整的招聘驗證流程和員工安全意識。同時，行業內的資訊共享和協作防禦也變得越來越重要。