朝鲜黑客伪装编码任务窃取加密货币

导语：2026年4月至5月，一个疑似与朝鲜有关联的黑客组织向近百家企业的软件开发者发送了250多封钓鱼邮件。邮件伪装成招聘邀请或代码审查请求，附带恶意GitHub/GitLab仓库链接。一旦开发者用VS Code或Cursor打开这些仓库，恶意代码便自动执行，加密货币钱包瞬间清空。

一、攻击概述

1.1 事件背景

据Proofpoint（派凤安全）最新研究，一个被追踪为UNK_DeadDrop的黑客组织，在2026年4月至5月期间，向近百家企业的软件开发者发送了250多封钓鱼邮件。这些邮件主要针对美国科技、教育和金融行业的从业者，尤其关注加密货币公司。

攻击的核心手法是社会工程学：利用开发者群体对技术交流的开放心态，将恶意代码包装成” coding assignment”（编程作业）或代码审查请求。

1.2 攻击流程

攻击者的操作流程非常精妙，分为以下几个步骤：

第一步：接触目标

攻击者通过LinkedIn、GitHub、Upwork等平台联系开发者，伪装成招聘方或技术同行，以高薪职位或合作项目为由搭讪。

第二步：发送恶意仓库链接

邮件中附带一个伪装成编码任务的GitHub或GitLab仓库链接，要求目标克隆到本地并用编辑器打开。

第三步：触发恶意代码

仓库中包含一个被精心构造的tasks.json文件，一旦用VS Code或Cursor打开该文件夹，恶意代码会自动执行。VS Code至少会弹出信任提示，而Cursor则完全静默执行，无需任何用户交互。

第四步：安装恶意扩展

恶意脚本伪装成Google服务，安装一个恶意的VS Code扩展。该扩展会在编辑器每次重新打开时自动激活恶意 payload。

二、技术分析

2.1 恶意payload平台分支

攻击链根据目标操作系统分叉：

Linux/macOS：

获取Go语言编写的远程访问木马（RAT），来自开源的Overlord框架
显示虚假的密码对话框，诱骗用户输入系统密码
利用窃取的密码提升到root权限
导出Keychain（macOS）或Keyring（Linux）中的所有凭据

Windows：

直接在VS Code编辑器内部以JavaScript形式运行
不在磁盘上留下任何文件，逃避传统杀毒软件的检测
绕过Chrome的app-bound加密机制，窃取浏览器中保存的密码

2.2 攻击目标清单

恶意软件会扫描并窃取以下内容：

浏览器钱包扩展：

MetaMask（MetaMask）
Phantom
Keplr

桌面钱包应用：

Exodus
Electrum
Ledger Live

浏览器凭据：

Chrome、Brave、Edge、Firefox中保存的密码和Cookie

上传完成后，恶意加载器会自行删除文件以毁灭痕迹。

2.3 与Contagious Interview的关联

Proofpoint指出，此次攻击与朝鲜黑客组织长期运行的Contagious Interview行动有明显关联。Contagious Interview以”虚假招聘”为诱饵，针对开发者进行社工攻击历史可追溯至2022年。

UNK_DeadDrop的关键区别在于：

邮件主导的投递方式
仓库创建的工业化规模
自包含的payload，可在基础设施被清除后继续存活

三、国内影响分析

3.1 高危人群

以下群体需高度警惕：

自由职业开发者：在Upwork、Fiverr等平台接单的程序员
远程工作者：尤其是从事加密货币相关项目的开发者
加密货币社区：持有或管理加密资产的从业者和投资者
代码审核者：经常帮人审查开源代码的技术人员

3.2 国内现状

朝鲜黑客组织针对开发者的攻击手法早有先例。2022年以来，国内已有多起开发者被”虚假招聘”钓鱼的案例，攻击者通常伪装成知名科技公司的HR或技术猎头。

随着国内加密货币社区的扩大和相关从业者增加，这类攻击的潜在目标群体也在增长。

3.3 防护建议

警惕陌生仓库链接：不要随意打开或克隆陌生人发送的代码仓库，尤其是声称是”测试任务”或”代码审查”的链接
编辑器安全设置：VS Code用户务必看清信任提示，不要对陌生文件夹点击”信任”
隔离环境测试：如必须测试陌生代码，请在虚拟机或沙箱中进行
核实招聘方背景：接到陌生招聘方的技术面试邀请时，通过官方渠道核实对方身份
加密货币钱包安全：使用硬件钱包而非浏览器扩展，管理多个钱包并分离资产
检查GitHub仓库可信度：确认仓库来源、Stars数量和贡献者历史，不要轻信新创建的仓库

四、总结

朝鲜黑客组织的手法越来越精妙——他们不再直接攻击加密货币交易所，而是从开发者下手，以”编码任务”为诱饵，步步为营地渗透进目标的钱包。

社会工程学才是最高级的黑客技术。在这场攻防博弈中，最大的漏洞不是代码，而是人心。

文章版权归作者所有，未经允许请勿转载。

THE END

黑客入侵黑客技术
# 恶意软件 # 加密货币 # 朝鲜黑客 # 社工攻击 # VS Code

朝鲜黑客组织通过伪装编码任务窃取加密货币