FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

‍‍

2024 年 10 月 21 日，确凿证据表明，与朝鲜有关联的威胁组织正把目标对准科技行业的求职者，向他们传播 BeaverTail 和 InvisibleFerret 这两个已知恶意软件家族的最新版本。在 2023 年 11 月首次追踪到的 “Contagious Interview”（传染性面试）行动中，这些威胁组织借助求职平台，伪装成潜在雇主，与软件开发人员建立联系。这一情况引发了广泛关注，也给科技行业的安全带来了新的挑战。

攻击者常常会主动邀请受害者参加在线面试，在面试期间，他们会采用各种方法试图说服受害者下载并安装恶意软件。

在感染的第一阶段，会出现 BeaverTail 下载器和信息窃取器。这款恶意软件经过精心的设计，专门针对 Windows 和 Apple macOS 这两个常见的操作系统平台。它的主要功能是充当基于 Python 的 InvisibleFerret 后门程序的传输通道，为后续的恶意行为做好铺垫。

有充足的证据显示，即便该活动已经被公开披露，引起了一定程度的关注，但它依旧处于活跃状态。这一情况清楚地表明，该行动背后的威胁组织仍然在持续不断地取得成功。他们主要通过诱导开发人员以编程任务为借口执行恶意代码，从而实现其不可告人的目的。

该攻击链通过假冒的 Windows 和 macOS 视频会议软件（伪装成 MiroTalk 和 FreeConference.com 等知名品牌），对开发者系统进行渗透，并植入 BeaverTail 和 InvisibleFerret 恶意软件。

在“Contagious Interview”（传染性面试）行动中，其整体作案手法或许因持续有效而被沿用。尽管该行动已被广泛报道并深入分析，但社会工程学技巧，例如伪装成招聘人员，依旧极具欺骗性，特别是对于那些不熟悉此类威胁，或者在求职过程中可能忽视基本安全措施的人而言。攻击者利用专业环境中的信任和紧迫感，成功创造出一种可靠的方法来获取受害者的设备访问权限。

最新版本的恶意软件采用 Qt 框架进行开发，而 Qt 支持 Windows 和 macOS 的跨平台编译。这就意味着，基于 Qt 的 BeaverTail 版本功能更加强大，它不仅能够窃取浏览器密码，还能从多个加密货币钱包中收集数据。

该行动战术缺乏变化的另一原因，或许在于他们推出了一种新版本恶意软件，即现采用 Qt 框架编写的 BeaverTail。这款恶意软件具有更强的隐蔽性，更难被察觉，同时支持 macOS 和 Windows 两大平台。这使得攻击者能够继续沿用之前的攻击手段，如假冒求职面试和伪装招聘人员，在更广泛的受害者和设备上展开攻击，而无需对行动机制进行重大调整。

BeaverTail 的功能并非仅仅是将数据泄露至敌对势力控制的服务器，它还能够下载并执行名为 InvisibleFerret 的后门程序。该后门程序包含两大组件：其一为核心有效载荷，可对受感染主机进行指纹识别、实施远程控制、进行键盘记录、泄露数据以及下载 AnyDesk 软件；其二是浏览器窃取器，专门用于收集浏览器凭证及信用卡信息。

据相关分析，朝鲜背景的威胁组织可能为筹集资金为目标，会实施金融犯罪。鉴于 BeaverTail 恶意软件具备窃取 13 种不同加密货币钱包的能力，因此可以推测该行动可能源于其经济动机。

在当今数字化时代，恶意软件的威胁日益严峻。我们看到了与朝鲜有关联的威胁组织利用求职平台，通过 “传染性面试” 行动计划传播恶意软件，给科技行业带来了巨大的安全挑战。从攻击链的分析到恶意软件的功能剖析，再到对其经济动机的推测，我们深刻认识到恶意软件的复杂性和危害性。但其实不是仅只有这样背景的威胁组织会使用这种方式，任何其他背景或形态的组织都可能会使用此种行之有效的社工方式。

面对这些威胁，我们需要高度警惕，加强安全意识，在求职等过程中不轻易下载和安装不明来源的软件。同时，企业和机构也应加强安全防护措施，提高对恶意软件的识别和防范能力。

本文为 独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022