随着网络犯罪活动的日益猖獗，许多求职者在寻找工作机会时，不幸成为了不法分子的目标。根据 Bitdefender 实验室的研究，与北朝鲜相关的 Lazarus Group 正在利用 LinkedIn 进行一场复杂的招聘骗局，以获取个人凭证和传播恶意软件。虽然 LinkedIn 为专业人士提供了一个找工作和建立网络的机会，但这一平台的信誉也被网络犯罪分子所利用，成为了他们进行各种诈骗活动的温床。

这篇文章将详细分析 Lazarus Group 在 LinkedIn 上执行的一项“招聘”活动，揭示其使用的欺骗策略，以及如何在这样的网络环境中保护自己和组织。

这一骗局以一个诱人的消息开始，声称提供一个与去中心化加密货币交易所合作的机会。尽管细节故意模糊，但远程工作、灵活的兼职安排和合理的薪水的承诺足以吸引那些急于寻找工作的求职者。当目标表示兴趣后，这名“招聘者”开始“招聘流程”，要求提供个人简历甚至个人的 GitHub 仓库链接。虽然这些请求看似无害，但实则可能用来获取个人数据，或为其沟通增加一层合法性的假象。

一旦接收到了请求的信息，诈骗者就会共享一个包含“最低可行产品” (MVP) 的仓库，并附带一份需要通过执行演示来回答的问题文档。初看代码似乎无害，但深入分析后，研究人员发现其中包含了一个高度混淆的脚本，该脚本会从第三方端点动态加载恶意代码。

研究显示，这段恶意代码可以在 Windows、MacOS 和 Linux 操作系统上部署，并且专门针对一些流行的加密货币钱包进行攻击。被感染后，信息窃取者会收集与这些扩展程序相关的重要文件和浏览器凭证，并将收集到的信息通过恶意 IP 地址进行外泄。该信息窃取者在收集了登录和扩展相关数据后，会下载并执行名为 main99_65.py 的 Python 脚本，进一步开启其他恶意活动。

这条感染链的复杂性不可小觑，恶意软件使用多种程序语言编写，并结合了多层次的 Python 脚本，相互递归解码及执行，JavaScript 信息窃取者首先窃取浏览器数据，然后转向进一步的载荷。而基于 .NET 的启动程序则具备禁用安全工具、配置 Tor 代理、以及启动加密矿工等功能。

这些恶意软件通过跨平台兼容性在 Windows、macOS 和 Linux 中传播，利用各种外泄方式 (HTTP、Tor 和攻击者控制的 IP)，而且还包含键盘记录器、系统侦查和文件收集等模块，展现了其广泛且复杂的能力。

分析这些恶意软件及其操作策略，强烈表明国家支持的威胁行为者的参与，尤其是与北朝鲜有关的 Lazarus Group (APT 38)，其目标不仅仅是盗取个人数据，更在于渗透航空、国防和核能等行业，获取机密信息和专有技术。

尽管这篇文章主要讨论了恶意的工作机会，此类威胁行为者也曾试图通过伪造身份申请多种职位，以获得私密信息、凭证和技术。因此，加强针对求职者的保护措施至关重要，特别是在社交平台日益成为网络攻击的热土的背景下。

为了保护自己，求职者应当提高警惕，留意一些红旗信号，例如模糊的职位描述、缺乏相应工作发布和异常的沟通方式。推荐采取以下最佳实践：避免在未验证的情况下运行代码，交叉验证工作机会的真实性及保持谨慎，审查所有意外的信息请求，尤其是在泄露个人信息时应更加小心。最后，使用虚拟机和沙盒等安全检测工具可以有效防止将个人信息泄露给恶意使用者。

对于企业而言，采用全面的多层次保护措施，以防止恶意软件及其带来的后果，不仅能保护员工的个人信息安全，还能保障企业的整体安全性。在面对不断演化的网络威胁时，构建一个安全的工作环境显得尤为重要。Bitdefender 的全面性多层保护，可以为各类设备提供保护，遏制来自病毒、恶意软件、间谍软件、勒索软件以及最复杂的钓鱼攻击的威胁。

综上所述，Lazarus Group 通过 LinkedIn 实施的招聘骗局，以及 WhatsApp 等其他平台上的类似攻击，都是现代网络安全环境下值得警惕的严重威胁。随着技术的发展，网络欺诈手段也在不断演进，求职者和企业都需保持高度警惕，以守护个人和组织的安全。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！