文章总结： 朝鲜黑客组织升级攻击武器库，利用新型macOS窃密工具DriverFixer0428瞄准求职开发者。该恶意软件伪装成系统工具，通过伪造系统提示窃取凭证，并利用合法云服务规避流量检测。其具备多层沙箱规避能力，能识别分析环境并静默潜伏。建议加强对面试来源的审核及系统异常行为的监控。 综合评分： 85 文章分类： 威胁情报,恶意软件,社会工程学

朝鲜黑客组织”传染性面试”瞄准macOS：新型”DriverFixer”窃密工具浮出水面

FreeBuf

2025年12月27日 18:03 上海

以针对求职者而臭名昭著的朝鲜网络间谍活动近期升级了攻击武器库，新增一款专门针对macOS用户的精密工具。安全研究员LunchM0n3y最新分析报告揭露了”DriverFixer0428″——这款伪装成无害系统工具的隐蔽凭证窃取程序，能够绕过防御系统窃取受害者的数字身份。

Part01

长期潜伏的”传染性面试”行动

该恶意软件是”传染性面试”（Contagious Interview）行动的最新武器。这个长期运作的攻击活动被归因于朝鲜国家支持的黑客组织，攻击者伪装成招聘人员，以技术面试或编码测试为幌子诱骗软件开发人员和IT专业人员安装恶意软件。

Part02

精心设计的欺骗手段

与那些简单粗暴的恶意软件不同，DriverFixer0428更擅长欺骗艺术。它伪装成合法工具，等待用户放松警惕。一旦执行，该恶意软件不仅会运行恶意代码，还会与受害者”对话”。报告指出，该恶意软件”通过模仿macOS系统提示和谷歌Chrome权限请求的复杂社交工程对话框来窃取用户凭证”。

攻击者通过模仿可信系统警报，诱骗用户主动交出密码。获取凭证后，这些信息会被静默打包并外传。

Part03

利用合法云服务隐藏行踪

为避免触发网络警报，攻击者将通信流量隐藏在众目睽睽之下。恶意软件不与可疑服务器连接，而是与数百万企业使用的可信云存储服务Dropbox通信。分析报告指出：”该恶意软件展现出与国家支持威胁行为者一致的操作安全性，利用合法云服务进行命令与控制，以规避基于网络的检测。”

这种技术使窃取的数据能够绕过防火墙和安全过滤器——这些防护措施通常会阻止与已知恶意域名的通信。

Part04

多层沙箱规避能力

该恶意软件配备了”多层沙箱规避能力”，能够检测是否在虚拟机或安全研究人员的分析环境中运行。当检测到处于沙箱环境（如Triage分析环境或苹果虚拟机）时，它会执行”静默消失”——不会崩溃或惊慌，而是进入”不执行有效载荷的空闲事件循环”，通过装死来欺骗分析人员认为文件无害。

Part05

溯源线索与高度可信的归因

恶意软件内部代码提供了其来源线索。从二进制文件中提取的字符串显示了内部名称”DriverFixer0428″，数字后缀可能表示构建日期为4月28日。结合社交工程、精密规避技术以及对macOS开发人员的针对性攻击，所有证据都指向一个熟悉的对手。报告得出结论，该样本”高度可信地归属于朝鲜的’传染性面试’行动”。

参考来源：

“Contagious Interview” Goes macOS: North Korean Hackers Deploy Stealthy “DriverFixer” Stealer

“Contagious Interview” Goes macOS: North Korean Hackers Deploy Stealthy “DriverFixer” Stealer

#

#

#

推荐阅读

#

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《朝鲜黑客组织”传染性面试”瞄准macOS：新型”DriverFixer”窃密工具浮出水面》