研究：朝鮮黑客組織Lazarus利用Git Hooks隱藏惡意軟體

攻擊手法與技術細節

根據OpenSourceMalware研究，朝鮮黑客組織Lazarus在「傳染性面試」與「TaskJacker」等針對開發者的惡意活動中，採用了新手法，將第二階段載入器隱藏在Git Hooks的pre-commit腳本中。

攻擊流程說明

「傳染性面試」是該組織透過偽造加密貨幣/DeFi領域招聘流程，誘使開發者克隆惡意代碼倉庫，最終竊取加密資產與憑證。

專家建議與風險警示

研究員建議，若被要求克隆代碼倉庫作為面試流程的一部分，開發者應提高警覺，最好在隔離環境中執行，並避免掛載個人瀏覽器設定、SSH密鑰與加密錢包。

相關來源與延伸資訊

• 9月14日一週安全威脅情報周報：指出Lazarus還利用版本控制系統，誘使技術人員克隆包含惡意符號連結的軟體庫，觸發隱藏的鉤子執行惡意程式，建立後門通道。
• CoinDesk：提及Mach-O Man為模組化惡意軟體工具包，已被Lazarus以外勢力使用，且常在受害者意識到入侵前自行刪除。
• Gate.com：推測Lazarus可能入侵了Bybit的多重簽名者，並部署惡意軟體幹擾簽名過程。
• 安全內參：指出GitHub提醒，Lazarus正在攻擊區塊鏈、加密貨幣、在線賭博與網絡安全行業中的開發人員帳號，透過惡意軟體感染設備。

來源：https://www.panewslab.com/zh/articles/019e0b58-bae4-739d-9aff-be5b70ed234b