近年来，网络安全威胁呈现出不断演变的趋势，尤其是针对新兴技术的攻击更加猖獗。最近，北朝鲜的黑客组织 Lazarus Group 在其最新行动“Operation 99”中，将目标锁定在了寻求兼职工作的 Web3 和加密货币开发者身上。他们通过伪造的 LinkedIn 招聘者和恶意代码库来传播 恶意软件，使得无辜的开发者在不知情的情况下中招。

此攻击活动的初始阶段，Lazarus Group 在职位平台如 LinkedIn 上发布伪造的招聘信息，试图引诱开发者参与项目测试和代码评审。一旦目标开发者落入圈套，他们会被引导去克隆一个看似无害的 GitLab 代码库，但实际上这个代码库中潜藏着可怕的恶意软件。开发者克隆后，这些代码便能够联系到控制服务器，并在开发者的环境中植入恶意代码，从而导致数据窃取和潜在的财务损失。

根据安全研究公司 SecurityScorecard 的最新报告，参与此攻击的人遍布全球，尤其在意大利地区受影响的人数较多。阿根廷、巴西、埃及、法国、德国、印度、印度尼西亚、墨西哥、巴基斯坦、菲律宾、英国和美国也有较少数量受害者。在行动中，所用恶意工具的版本标识为 “pay99”，这也是该行动名称的由来。虽然目前没有确切的受害者数量，但研究人员指出，这些攻击者成功地诱使目标开发者执行了恶意代码。

Lazarus Group 知名于其在网络攻击中使用 主题化的招聘策略，例如曾经的 “Operation Dream Job” 行动，他们在策划此类攻击时，会不断保持手法的创新，以提高欺骗性。利用技术的进步，比如通过 AI 生成的真实社交媒体资料和可信的沟通方式，使得他们能够打造出更具说服力的场景，甚至能够欺骗那些通常十分警觉的开发者。

此次“Operation 99” 的独特之处在于，攻击者通过伪造的招聘方案吸引开发者参与编码项目，并采用欺骗性的 LinkedIn 资料将受害者引导至恶意的 GitLab 代码库。最终，他们的目标是将 数据窃取软件 部署到开发者的环境中，这类软件能够提取源代码、机密信息、加密货币钱包密钥和其他敏感数据。

其中包括名为 Main5346 和其变体 Main99 的恶意程序，它们能够作为下载器，下载三种其他payload：收集系统数据的 Payload99/73（及其功能相似的 Payload5346），能够终止网络浏览器进程、执行任意代码并与控制服务器建立持久连接；盗窃网银数据的 Brow99/73，以便进行凭证窃取；以及能够实时监控和窃取键盘和剪贴板活动的 MCLIP。

攻击者通过 破坏开发者账户，不仅窃取了知识产权，还直接获得了加密货币钱包的访问权限，进而实现了资金的直接盗取。这种针对 私人和秘密密钥 的有针对性的盗窃行动，如果成功，可能会造成数以百万计的数字资产被盗，进一步推动了 Lazarus Group 的财务目标。后者的恶性程序架构采用了 模块化设计，能够兼容 Windows、macOS 和 Linux 操作系统，表明国家级网络威胁的不断进化和适应。

正如 SecurityScorecard 的专家所指出的，对于北朝鲜来说，黑客活动已经成为生存的重要经济来源。Lazarus Group 一直以来将被盗取的加密货币用于为政权的各种野心提供经济支持，随着 Web3 和加密货币产业的快速发展，他们的“Operation 99”精确瞄准了这些高增长行业，意图在其中获取最大利益。

鉴于这些潜在的威胁，作为个体开发者的我们需要保持警惕。首先，谨慎对待职位邀约，确保其来源可靠，绝不要随意下载不明确来源的程序。即使在熟悉的平台上，也应对任何下载的内容使用恶意软件扫描工具。其次，开发项目时，使用多重签名钱包和实施最小权限访问控制，可以有效降低因私钥被破解而导致的损失。

总而言之，“Operation 99” 是一个警示，提醒我们在快速发展的技术环境中，网络安全不容忽视。对于开发者而言，保持警惕和提高安全意识，是防止自己成为网络攻击目标的关键。在这个信息瞬息万变的数字时代，每个人都应具备一定的网安知识，以抵御潜在的网络威胁。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课