SlowMist 警报:朝鲜黑客组织招募诱骗 Web3 开发者,3 个月窃取 1200 万
安全机构慢雾发布紧急预警,北韩 Lazarus 组织旗下子组织 HexagonalRodent 正针对 Web3 开发者发动攻击,通过高薪远程岗位等社交工程手段,诱导开发者执行包含恶意软件后门的技能评估代码,最终窃取加密资产。根据 Expel 调查报告,2026 年前三个月,损失金额达 1,200 万美元。
攻击手法:技能评估代码是主要感染入口
攻击者首先通过 LinkedIn 或招聘平台联系目标,或建立虚假公司网站发布招聘信息,以「居家技能评估」为由让开发者运行恶意代码。评估代码包含两条感染途径:
VSCode tasks.json 攻击:恶意代码植入带有 runOn: folderOpen 指令的 tasks.json 文件,使开发者仅需在 VSCode 中打开代码文件夹,恶意软件即自动执行。
代码内置后门:评估代码本身嵌入后门,在代码执行时触发感染,针对未使用 VSCode 的开发者提供备用入口。
使用的恶意软件包括:BeaverTail(NodeJS 多功能窃密工具)、OtterCookie(NodeJS 反向 shell)和 InvisibleFerret(Python 反向 shell)。
首次供应链攻击:fast-draft VSX 扩展遭入侵
2026 年 3 月 18 日,HexagonalRodent 对 VSCode 扩展「fast-draft」发动了供应链攻击,通过受损扩展散布 OtterCookie 恶意软件。慢雾确认,2026 年 3 月 9 日,一名与 fast-draft 扩展开发者同名的用户已感染 OtterCookie。
若怀疑系统已受感染,可使用以下命令检查是否连接至已知 C2 服务器(195.201.104[.]53): MacOS/Linux:netstat -an | grep 195.201.104.53 Windows:netstat -an | findstr 195.201.104.53
AI 工具滥用:ChatGPT 与 Cursor 被确认遭恶意使用
HexagonalRodent 大量使用 ChatGPT 和 Cursor 辅助攻击,包括生成恶意代码和构建伪装公司网站。识别 AI 生成恶意代码的关键标志是代码中大量使用表情符号(在手写代码中极为罕见)。
Cursor 已在一个工作日内封锁相关账户及 IP;OpenAI 确认发现有限度的 ChatGPT 使用,表示这些账户所寻求的协助属于合法安全用例的双重用途场景,未发现持续的恶意软件开发活动。已确认至少 13 个受感染钱包的资金流向已知的北韩以太坊地址,收到超过 110 万美元。
常见问题
Web3 开发者如何保护自己免受此类攻击?
核心防护措施包括:(1)对陌生招聘方保持高度警惕,尤其是要求完成居家代码评估的机会;(2)在沙盒环境而非主系统中打开不熟悉的代码仓库;(3)定期检查 VSCode 的 tasks.json 文件,确认没有未授权的 runOn: folderOpen 任务;(4)使用硬件安全密钥保护加密钱包。
如何确认自己的系统是否已被感染?
执行快速自查命令:MacOS/Linux 用户运行 netstat -an | grep 195.201.104.53,Windows 用户运行 netstat -an | findstr 195.201.104.53,若发现与已知 C2 服务器的持久连接,应立即断网并进行全面的恶意软件扫描。
HexagonalRodent 为何选择 NodeJS 和 Python 作为恶意软件语言?
Web3 开发者通常已在系统上安装 NodeJS 和 Python,因此恶意进程能够融入正常开发者活动而不触发警报。这两种语言不是传统反恶意软件系统的主要监控对象,加上商业代码混淆工具的使用,使得特征码检测极为困难。
相关文章