北韓駭客Lazarus鎖定Web3開發人員發起攻擊行動Operation 99，意圖散布惡意軟體

北韓駭客假借徵才名義，鎖定開發人員散布惡意軟體的情況，過往駭客組織Lazarus發起的Operation Dream Job攻擊行動相當受到資安圈關注，如今有資安業者發現，這些駭客的手段變得更加複雜，使得求職的開發人員難以察覺有異。

資安業者SecurityScorecard指出，他們在1月9日發現Lazarus發起的攻擊行動Operation 99，主要目標是想要在Web3或是加密貨幣領域求職的軟體開發者，意圖在他們的電腦植入惡意程式。

這些駭客假冒人資主管的名義，在職場社群網站LinkedIn等平臺進行徵才，以專案測試及程式碼檢視為由引誘開發人員上當。一旦開發人員照做，他們就會被要求複製看似無害的GitLab儲存庫，而駭客在其中埋入能連往C2伺服器的程式碼，從而於受害者的環境植入惡意軟體。

這些駭客攻擊的目的，主要是原始碼及智慧財產、組態配置資料、API金鑰、帳密資料，以及加密貨幣錢包相關資料。

韓駭客假借徵才對開發人員下手的情況，已非首例，SecurityScorecard威脅研究資深副總裁Ryan Sherstobitoff指出，Operation 99之所以能成功引誘受害者上當，原因在於駭客不斷發展手法，而且，這次駭客利用程式碼專案吸引開發人員，並將他們導向惡意GitLab儲存庫，使得這種徵才的誘餌變得看起來更加難以辨別真假。

針對這波攻擊行動的範圍，主要目標是義大利，但SecurityScorecard也在阿根廷、巴西、埃及、法國、德國等地發現受害者。

一旦開發人員上當，駭客就會運用模組化惡意程式進行多階段攻擊。攻擊者先利用惡意程式下載工具Main99連往C2，取得其他惡意酬載，然後透過Payload99/73、Brow99/73、MClip等元件，監控鍵盤輸入的內容、剪貼簿資料，竊取瀏覽器存放的帳密，然後將資料外洩。

Ryan Sherstobitoff指出，駭客使用的惡意軟體框架相當危險，能針對Windows、macOS、Linux等多種平臺發動攻擊，並將攻擊流程嵌入開發人員的工作流程，駭客得以儘可能地隱匿自身活動的蹤跡。

研究人員進一步調查此事，發現這波攻擊行動可追溯到去年10月，但到了今年手法加劇。首先，駭客改用不會自我刪除的惡意程式，而能長期監控受害者；再者，他們運用更為複雜的混淆手法，惡意酬載經過65層處理，使得資安鑑識分析也難以察覺有異。