朝鲜黑客利用虚假求职面试攻击了3100多个与人工智能、加密货币和金融相关的IP地址。

朝鲜黑客在 2025 年从加密货币市场窃取了超过 20 亿美元之后，又卷土重来，发起了一场由名为 PurpleBravo 的组织实施的虚假招聘活动。.

据 Recorded Future 旗下 Insikt Group 的最新威胁情报调查结果显示，与朝鲜有关联的黑客对 3100 多个与人工智能、加密货币和金融服务公司相关的互联网地址发起了网络间谍活动。. 

PurpleBravo被发现使用欺诈性招聘流程和嵌入恶意软件的开发者工具。据Insikt Group评估，目前已dent20家受害机构，分别来自南亚、北美、欧洲、中东和中美洲。. 

朝鲜发起虚假招聘面试恶意软件攻击 

据 解释 ，“传染性面试”攻击活动中，不法分子冒充招聘人员或开发人员，通过技术面试题接近求职者。安全分析师表示，在监测期间，至少有 3136 个独立 IP 地址成为攻击目标。

攻击者伪装成加密货币和技术公司的代表，要求候选人审查代码、克隆存储库或完成编码任务。. 

这家威胁情报公司在其报告中写道：“在一些案例中，求职者很可能在企业设备上执行了恶意代码，从而给组织造成了超出个人目标范围的风险。”.

该行动在朝鲜黑客的私人和开源信息中都有多个别名，包括 CL-STA-0240、DeceptiveDevelopment、DEV#POPPER、Famous Chollima、Gwisin Gang、Tenacious Pungsan、UNC5342、Void Dokkaebi 和 WaterPlum。. 

该网络安全组织还提到，黑客利用 Astrill VPN 和 IP 地址段来管理位于中国的命令与控制服务器。与此同时，17 家服务提供商为他们托管了 BeaverTail 和 GolangGhost 等恶意软件服务器。.

利用身份、GitHub 和乌克兰掩护故事引诱受害者

Insikt Group 在调查恶意 GitHub 存储库、有关加密货币诈骗的社交媒体讨论以及黑客网络情报服务后，发现了与 PurpleBravo 有关的四个在线身份。

报告显示，这些虚假账号均显示其位于乌克兰敖德萨，但目标求职者却来自南亚。Insikt 表示，目前尚无法确定为何诈骗分子会使用乌克兰dent信息。. 

在其中一个虚假项目中，黑客利用一个网站宣传一种基于某食品品牌的代币。然而，研究人员无法证实该代币与其所指的公司之间存在任何 关联 。诈骗分子、自动机器人和恶意链接充斥着该项目的官方 Telegram 频道。 

此外，此次行动还涉及两种相关的远程访问木马：PylangGhost 和 GolangGhost。这些恶意软件家族是跨平台工具，它们共享dent的命令，并自动窃取浏览器dent和 Cookie。.

GolangGhost 与多个操作系统兼容，但 PylangGhost 仅适用于 Windows 系统，并且可以绕过 Chrome 127 及更高版本中的应用程序绑定dent保护。.

Insikt Group发现一些Telegram频道出售LinkedIn和Upwork账号，卖家使用proxy-seller[.]com、powervps[.]net、dentialvps[.]com、lunaproxy[.]com和sms-activate[.]io等代理服务和虚拟专用服务器（VPS）来隐藏其真实位置。该运营者还被发现与加密货币交易平台MEXC Exchange有互动。.

VS Code 在 Microsoft Visual Studio 中的后门

周一，Jamf威胁实验室发布报告称，与朝鲜有关联的黑客组织开发了一种武器化的微软Visual Studio Code版本，该版本能够查找系统中的后门。安全分析师表示，这种攻击手段最早于2025年12月被dent，此后不断改进。.

据 Jamf 安全研究员 Thijs Xhaflaire 称，攻击者可以植入恶意软件，从而获得在目标计算机上执行远程代码的权限。感染链始于目标克隆恶意 Git 仓库并在 ​​VS Code 中打开它。.

Thijs Xhaflaire 写道：“当项目打开时，Visual Studio Code 会提示用户信任存储库作者。如果授予信任，应用程序matic处理存储库的 tasks.json 配置文件，这可能导致嵌入的任意命令在系统上执行 会。