文章总结： 朝鲜黑客组织ContagiousInterview通过开发者工具进行供应链攻击，利用VSCode自动执行机制、恶意扩展和GitHub仓库链接，针对全球近百家金融机构实施多阶段攻击。攻击链涉及钓鱼邮件、恶意脚本加载、数据窃取工具（如Overlord框架），主要目标是窃取加密货币凭证和钱包数据。研究显示攻击者持续演化技术手段，包括使用AI辅助开发和蠕虫式传播。 综合评分： 85 文章分类： 恶意软件,供应链安全,WEB安全,安全工具,漏洞分析

朝鲜黑客将开发者工具转化为恶意软件投递渠道，攻击全球近百机构

FreeBuf

2026年6月16日 18:00 上海

在小说阅读器读本章

去阅读

网络安全研究人员发现两起恶意网络活动与朝鲜黑客组织Contagious Interview（又名Famous Chollima、HexagonalRodent和Void Dokkaebi）存在关联。

Proofpoint报告显示，该组织通过开发者职位招聘或代码审查主题的钓鱼邮件，针对金融、加密货币、教育、科技等近百家机构发起攻击，该行动代号为UNK_DeadDrop。

Part01

利用VS Code自动执行机制

Proofpoint研究员Saher Naumaan和Carlos Rubio指出：”感染链始于包含GitHub仓库链接的邮件，这些仓库托管着可执行跨平台恶意脚本，包括名为Overlord的开源Go框架。”

该活动与朝鲜关联的关键证据是使用Microsoft Visual Studio Code（VS Code）项目，通过”runOn: folderOpen”技术实现在代码编辑器打开时自动触发恶意代码执行，无需用户交互。Contagious Interview组织自2025年12月起就采用此技术。

企业安全公司记录的攻击活动涉及六周内发送的250多封邮件，目标覆盖近100家机构的个人。超过75%的目标位于美国，其次是英国、澳大利亚、法国、巴西、德国、印度、以色列、日本和荷兰。

Part02

多阶段攻击链分析

邮件包含伪装成技术测试或加密货币项目的GitHub仓库链接，诱导受害者克隆仓库并在VS Code或Cursor中打开，从而执行针对Linux、macOS和Windows系统的恶意加载程序。2026年5月观察到的后续诱饵改为要求目标审查开源项目。

加载程序（macOS/Linux使用shell脚本，Windows使用VBScript）会安装伪装成Google服务的恶意VS Code扩展（VSIX），并与外部服务器通信以实现远程命令执行、系统侦察，以及从浏览器钱包扩展、凭证和桌面钱包应用中窃取数据。

Linux和macOS感染链最终部署定制版Overlord框架实施数据窃取，并通过虚假安全弹窗诱骗用户输入系统密码。Windows攻击链则依赖VBScript载荷运行CMD文件来安装扩展。最终目标均为窃取钱包浏览器扩展和应用的凭证数据，并通过HTTP POST请求将结果外传到服务器（23.137.105[.]75:5173）。

Proofpoint指出：”与Linux/macOS Agent不同，Windows管道不维持持久连接，上传ZIP文件后即执行清理并终止。”分析还发现攻击者曾分发Windows版Overlord二进制文件，后改用新方法以规避检测。

Part03

攻击活动技术演进

Proofpoint将UNK_DeadDrop与Contagious Interview区分追踪，因两者初始访问方法（领英vs邮件）和使用的Overlord框架存在差异。该框架不同于朝鲜黑客传统部署的BeaverTail、InvisibleFerret和OtterCookie等定制恶意软件家族。

“UNK_DeadDrop活动表明朝鲜针对开发者的金融窃取行动日趋成熟，”报告称，”从社交媒体平台虚假面试转向大规模招聘主题钓鱼邮件分发恶意仓库链接，显示攻击者正在工业化扩展行动规模。”

Part04

恶意VS Code扩展威胁

Yeeth Security同期发现官方市场中三个恶意VS Code扩展：”ByteBinTools.jupyter-powerdev-2026.6.8.vsix”、

“ToolCraft.jupyter-powertools-3.21.0.vsix”和”OLDev.markdown-mode-devtools-2.1.0.vsix”，这些伪装成Jupyter Notebook生产力工具，实则为可绕过终端防御的”复杂多阶段后门”。

该恶意软件功能包括：

• 将SharePoint站点作为命令队列、受害者注册表和数据外传通道
• 通过Microsoft Graph API和SharePoint处理所有C2通信的JavaScript层
• 支持任意文件读写、外传以及使用Windows可执行文件和Linux/macOS Python脚本执行代码的组件

C2通道除运行命令/脚本外，还可发出”host_action”指令实现pwd、ls、cd、cat等文件系统操作及文件上传下载。虽然与已知朝鲜行动无直接重叠，但其JavaScript与Python工具链与Contagious Interview存在相似性，且Microsoft Graph API认证机制与Lazarus组织的Dream Job攻击（S2 Grupo LAB52 2025年10月披露）有共通点。

Part05

近期关联攻击活动汇总

1. Axios供应链攻击后续：使用三个恶意npm包（[email protected]、[email protected]和[email protected]）投放信息窃取程序，数据外传至不同C2设施。这些包被列为伪装成加密货币交易机器人的GitHub项目依赖项。OpenSourceMalware称：”Axios恶意包从NPM移除后不到18小时，首个次级载荷已在注册表激活，表明攻击者准备了备用基础设施。”

2. TaskJacker攻击活动：向GitHub用户现有仓库投放恶意VS Code任务文件，以蠕虫方式传播。OpenSourceMalware团队表示：”通过武器化VS Code的tasks.json自动执行功能，攻击者创建了仅需克隆仓库并在IDE打开即可入侵系统的场景。”

3. Contagious Interview使用Git钩子（”.githooks/pre-commit”）在目标克隆”编码评估”仓库时触发恶意代码，改变了将恶意代码隐藏于.vscode/tasks.json或package.json文件的传统方式。

4. Contagious Interview通过遭入侵的Packagist包 （”roberts/leads”） 针对PHP开发者投放JavaScript恶意加载程序，该程序连接区块链和公共RPC设施获取、解密并执行下一阶段JavaScript载荷。攻击者还利用入侵的开发系统篡改提交记录，向仓库源代码文件注入多阶段混淆JavaScript代码，最终载荷为DEV#POPPER RAT变种。

5. Trend Micro指出：”Void Dokkaebi的行动不止于感染单个开发者，受控机器成为跳板，攻击者武器化受害者仓库，将其代码贡献转化为下游开发者的感染媒介，形成类似蠕虫的自我维持传播链。”

6. Contagious Interview将InvisibleFerret从可读Python脚本迁移至Cython编译二进制文件，在Windows分发.pyd文件，macOS分发.so文件。Trend Micro称：”此次更新在保留后门访问、浏览器凭证窃取、剪贴板监控、键盘记录和加密货币钱包攻击等核心功能的同时，增加了规避层。BeaverTail也从最初的下载窃取工具扩展为具有凭证收集和钱包木马化等重叠功能的更广泛恶意软件。”

7. 发现针对Telegram数据、SSH密钥、加密钱包、云配置和环境变量的恶意npm包”terminal-logger-utils”，发布者”jpeek895″曾在2026年4月下旬发布类似包”terminal-logger-pack”。另一npm包”js-logger-pack”被确认投放具有信息窃取和远程访问木马（RAT）功能的ELF二进制文件。

8. BlueNoroff（又名Sapphire Sleet和UNC1069）针对高价值金融领域macOS环境投放信息窃取程序，采用针对加密货币、投资和Web3领域人士的社会工程手段，包括伪造Zoom和Microsoft Teams会议主题诱饵及ClickFix式提示，诱骗安装所谓”缺失”的会议SDK。攻击导致部署Cabbage RAT（又名CageyChameleon）更新变种、能够窃取凭证数据的PowerShell植入程序，或新发现的macOS数据窃取工具包Mach-O Man。

9. 微软表示：”通过诱使用户手动执行AppleScript或终端命令，Sapphire Sleet使执行处于用户启动上下文，从而规避macOS的TCC、Gatekeeper、隔离强制和公证检查等防护机制。”

10. Contagious Trader通过50多个恶意包嵌入100多个GitHub仓库，针对加密货币开发者投放PromptMink、OtterCookie和新型Windows剪贴板窃取程序ClipViper。Panther指出：”恶意仓库通过X和Reddit认证账号推广，使用伪造开发者身份和机器人刷星提升可信度，分布在40多个GitHub用户和组织作为冗余投递前端。”

11. 发现多个一次性账号发布的混淆恶意npm包通过postinstall钩子投放OtterCookie信息窃取程序变种。另一恶意npm包”node-env-resolve”被确认使用六个与OtterCookie工具包匹配的运行时依赖项。

12. Contagious Interview利用生成式人工智能辅助开发加载程序（用于投放BeaverTail和OtterCookie），并设立空壳公司通过虚假领英账号发布职位进行社会工程。Expel数据显示，这些行动可能由多个团队执行，2026年前三个月已窃取200万美元加密货币。Expel的Marcus Hutchins称：”攻击者从2,726名受感染开发者的系统中外传了26,584个加密货币钱包。”

13. 代号jsonspack的供应链攻击使用27个恶意npm包投放JavaScript RAT和信息窃取程序，或投放用于获取未指定载荷的加载程序。另一恶意npm包”sleek-pretty”针对运行Polymarket交易机器人的开发者实施系统指纹识别、SSH后门安装、文件系统外传及Polymarket CLOB API凭证定向窃取。

14. 2026年3月20日至4月20日持续进行的npm恶意软件活动涉及108个恶意包和261个包版本，旨在窃取凭证、Telegram Desktop会话和钱包密钥，并使用BeaverTail和OtterCookie等恶意软件家族建立持久访问。

Expel总结道：”虽然经济动机的网络犯罪对大多数国家缺乏吸引力（因制裁导致的损失远超收益），但朝鲜情况特殊。该国已承受严厉制裁，几乎无法施加更多威慑，而对其严重受限的经济活动而言，收益却相当可观。”

参考来源：

North Korean Hackers Are Turning Developer Tools Into Malware Delivery Channels

https://thehackernews.com/2026/06/north-korean-hackers-are-turning.html

推荐阅读

#

#

#

#

#

#

#

#

#

#

#

#

#

#

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《朝鲜黑客将开发者工具转化为恶意软件投递渠道，攻击全球近百机构》