【安全资讯】朝鲜黑客利用Thiefbucket恶意软件攻击加密货币开发者

概要：

Jamf Threat Labs最近发现了一系列针对加密货币行业个人的定向攻击，这些攻击与FBI近期关于朝鲜网络活动的警告相一致。攻击者使用复杂的社会工程策略，通过专业社交平台如LinkedIn诱骗受害者下载恶意软件。

主要内容：

在一次观察到的攻击中，一名假冒的招聘人员以提供编码挑战为名联系了一名开发者。这一挑战通过Visual Studio项目交付，内含隐藏的恶意脚本，旨在在受害者的机器上安装第二阶段的有效载荷。朝鲜的攻击者展示了其在使用社会工程策略方面的高超技巧，通过冒充招聘人员或同事在专业社交网站上接触目标。

根据FBI的说法，这些攻击者通过审查社交媒体资料对目标进行详细研究，使其攻击更具说服力。Jamf研究的一个案例中，一个假冒的LinkedIn资料声称来自一个去中心化金融（DeFi）技术公司，用于联系潜在受害者。该资料没有任何关注者，这是一个明显的红旗，并使用了一个精心制作但虚假的网站来增强其合法性。

在观察到的攻击中，恶意的Visual Studio项目要求开发者将Slack消息转换为CSV格式，这看似无害的任务实际上隐藏了两个恶意的bash脚本，这些脚本下载并执行了额外的恶意软件，后来被识别为“Thiefbucket”恶意软件。该有效载荷允许攻击者窃取数据并在受感染的机器上保持持久访问。两个有效载荷，VisualStudioHelper和zsh_env，通过滥用cron作业和zshrc配置文件来建立持久性。VisualStudioHelper作为信息窃取器，而zsh_env则作为后门。