文章总结： 文档揭示了朝鲜威胁活动集群PurpleBravo（又称ContagiousInterview）通过虚假求职面试锁定3136个独立IP地址，主要位于南亚和北美。攻击者伪装成LinkedIn招聘人员，利用恶意GitHub仓库传播BeaverTail和GolangGhost等恶意软件，并托管于17家服务商。该活动与朝鲜IT人员渗透计划存在战术重叠，对AI、加密货币、IT服务等行业构成供应链风险，建议组织加强防御防止数据泄露。 综合评分： 85 文章分类： 威胁情报,供应链安全,恶意软件,社会工程学,网络安全

朝鲜“紫色突袭”行动通过虚假求职面试锁定3136个IP地址

Rhinoer Rhinoer

犀牛安全

2026年2月22日 00:00 北京

目前已确定与“传染性访谈”活动的潜在目标相关的 3,136 个独立 IP 地址，该活动声称有 20 个潜在受害组织，涵盖欧洲、南亚、中东和中美洲的人工智能 (AI)、加密货币、金融服务、IT 服务、营销和软件开发等领域。

这些新发现来自 Recorded Future 旗下的 Insikt Group，该组织正在追踪代号为PurpleBravo的朝鲜威胁活动集群。该活动最早于 2023 年末被记录在案，也被称为 CL-STA-0240、DeceptiveDevelopment、DEV#POPPER、Famous Chollima、Gwisin Gang、Tenacious Pungsan、UNC5342、Void Dokkaebi 和 WaterPlum。

据评估，攻击者在 2024 年 8 月至 2025 年 9 月期间，攻击了 3136 个独立 IP 地址，这些地址主要集中在南亚和北美地区。据称，20 家受害公司分别位于比利时、保加利亚、哥斯达黎加、印度、意大利、荷兰、巴基斯坦、罗马尼亚、阿拉伯联合酋长国（阿联酋）和越南。

这家威胁情报公司在一份与《黑客新闻》分享的新报告中表示：“在一些案例中，求职者很可能在公司设备上执行了恶意代码，从而给组织造成了超出个人目标的风险。”

就在 Jamf Threat Labs详细介绍了Contagious Interview 攻击活动的一个重要迭代版本之后一天，此次披露进一步凸显了攻击者持续利用受信任的开发人员工作流程来实现其网络间谍和金融盗窃的双重目标。

万事达卡旗下的这家公司表示，他们检测到四个可能与 PurpleBravo 有关的 LinkedIn 个人资料，这些资料伪装成开发人员和招聘人员，并声称来自乌克兰敖德萨市。此外，他们还发现了几个恶意 GitHub 存储库，这些存储库旨在传播已知的恶意软件家族，例如 BeaverTail。

据观察，PurpleBravo 还管理着两组不同的命令与控制 (C2) 服务器，分别用于 BeaverTail（一款 JavaScript 信息窃取和加载器）和GolangGhost（又名 FlexibleFerret 或 WeaselStore，基于 HackBrowserData 开源工具）这款基于 Go 的后门程序。

这些C2服务器托管在17家不同的服务商处，通过Astrill VPN从中国境内的IP地址段进行管理。多年来，朝鲜网络攻击者利用Astrill VPN发起网络攻击的案例已有大量记录。

值得一提的是，“传染性访谈”是对另一个名为“Wagemole”（又名 PurpleDelta）的独立行动的补充。在这个行动中，来自“隐士王国”的 IT 人员使用欺诈或窃取的身份，在美国和世界其他地区的组织中寻求未经授权的工作，以获取经济利益和进行间谍活动。

尽管这两个集群被视为不同的活动集合，但它们之间存在着重要的战术和基础设施重叠，尽管 IT 工作人员的威胁自 2017 年以来一直持续存在。

Recorded Future 表示：“这包括疑似 PurpleBravo 操作员的活动与朝鲜 IT 工作人员的行为一致，俄罗斯的 IP 地址与朝鲜 IT 工作人员通过 PurpleBravo C2 服务器进行通信有关，以及来自与 PurpleDelta 活动相关的同一 Astrill VPN IP 地址的管理流量。”

更糟糕的是，一些受PurpleBravo虚假招聘信息欺骗的求职者被发现使用公司提供的设备进行编程测试，这实际上损害了雇主的利益。这表明，除了IT从业人员之外，IT软件供应链也同样容易受到朝鲜敌对势力的渗透。

该公司指出：“许多此类（潜在受害）组织都宣称拥有庞大的客户群，这对在这些地区外包业务的公司构成了严重的供应链风险。虽然朝鲜IT从业人员的就业威胁已广为人知，但PurpleBravo的供应链风险同样值得关注，以便各组织能够做好准备、防御并防止敏感数据泄露给朝鲜威胁行为者。”

信息来源：The Hacker News

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer Rhinoer《朝鲜“紫色突袭”行动通过虚假求职面试锁定3136个IP地址》