安全研究人员发现,一个与朝鲜有关的黑客组织正在用更隐蔽的方式投递恶意软件。他们不再直接发送Python脚本,而是把代码编译成Windows和macOS系统上的原生二进制文件,让依赖脚本特征检测的安全工具失效。
这个名为Void Dokkaebi的组织(也被称为Famous Chollima)长期针对软件开发者下手。他们的目标很明确:加密货币钱包凭证、代码签名密钥,以及CI/CD构建管道的访问权限。攻击者通常伪装成加密货币或AI公司的招聘人员,诱导开发者在"面试"环节克隆并运行恶意代码仓库。
Trend Micro的分析显示,该组织使用的InvisibleFerret信息窃取木马已经完成了技术升级。开发者使用Cython工具将Python代码转换为原生二进制——Windows平台分发为.pyd文件(DLL格式的Python扩展模块),macOS平台则为.so共享库文件。这两种格式都无法独立运行,必须依赖Python解释器。
为了解决这个问题,感染链会在磁盘上写入一个配套的.mod脚本,由它来启动编译后的二进制文件。这意味着安全工具如果还在扫描Python脚本特征,将完全无法识别这些二进制文件中的威胁。虽然通过二进制分析仍能提取IP地址和端口号,但运行时脚本可以用参数传入不同的命令控制服务器地址,进一步增加追踪难度。
升级后的InvisibleFerret保留了完整功能:开启后门、窃取浏览器凭证、监控剪贴板、记录键盘输入、窃取加密货币钱包。与其配合的BeaverTail加载器也从简单的下载器进化出独立的凭证收集和钱包定位功能。
这次技术调整针对性很强。安全团队如果依赖基于脚本的检测规则,现在出现了一个明显的覆盖盲区。攻击者显然在计算防御者的更新节奏——当检测策略滞后于投递手法时,窗口期就是他们的机会。
热门跟贴