摘要：与曹县有关的 Lazarus APT组织 被认为是一项新的网络攻击活动（代号“ 99 号行动”）的发起者，该组织的目标是寻找自由职业的 Web3 和加密货币工作来传播恶意软件的软件开发人员。

与曹县有关的 Lazarus APT组织 被认为是一项新的网络攻击活动（代号“ 99 号行动”）的发起者，该组织的目标是寻找自由职业的 Web3 和加密货币工作来传播恶意软件的软件开发人员。

SecurityScorecard 威胁研究与情报高级副总裁 Ryan Sherstobitoff在今天发布的新报告中表示：“此次活动始于伪装招聘人员，他们在 LinkedIn 等平台上冒充招聘人员，用项目测试和代码审查来引诱开发人员。”

“一旦受害者上钩，他们就会被引导去克隆一个恶意的 GitLab 存储库——看似无害，但却充满了灾难。克隆的代码连接到命令和控制 (C2) 服务器，将恶意软件嵌入受害者的环境中。”

该活动的受害者遍布全球，其中意大利尤为集中。

阿根廷、巴西、埃及、法国、德国、印度、印度尼西亚、墨西哥、巴基斯坦、菲律宾、英国和美国等国的受害者较少。

该网络安全公司表示，该活动于 2025 年 1 月 9 日发现，以之前在 Lazarus 攻击中观察到的以工作为主题的策略为基础，例如Operation Dream Job（又名 NukeSped），特别针对 Web3 和加密货币领域的开发人员。

“99 号行动”的独特之处在于，它以编码项目吸引开发人员，这是精心策划的招聘计划的一部分，其中包括制作欺骗性的 LinkedIn 个人资料，然后利用这些个人资料将他们引导至恶意的 GitLab 存储库。

攻击的最终目标是部署数据窃取植入程序，该植入程序能够从开发环境中提取源代码、机密、加密货币钱包密钥和其他敏感数据。

其中包括 Main5346 及其变体 Main99，后者可充当另外三个有效载荷的下载程序：

Payload99/73（及其功能类似的 Payload5346），收集系统数据（例如文件和剪贴板内容）、终止 Web 浏览器进程、执行任意代码并与 C2 服务器建立持久连接

Brow99/73，窃取网络浏览器数据，以窃取凭证

MCLIP，实时监控并窃取键盘和剪贴板活动

该公司表示：“通过入侵开发者账户，攻击者不仅可以窃取知识产权，还可以访问加密货币钱包，从而直接进行金融盗窃。有针对性地盗窃私钥和密钥可能会导致数百万数字资产被盗，从而进一步实现 Lazarus APT组织 的财务目标。”

该恶意软件架构采用模块化设计，非常灵活，能够在 Windows、macOS 和 Linux 操作系统上运行。它还凸显了民族国家网络威胁不断演变和适应性强的性质。

Lazarus 组织一直在将偷来的加密货币用于实现其野心，积累了惊人的资金。随着 Web3 和加密货币行业的蓬勃发展，Operation 99 瞄准了这些高增长行业。

技术报告：

新闻链接：

来源：会杀毒的单反狗