PurpleBravo攻击活动
威胁情报分析师已识别出 3136 个与“传染性访谈”攻击活动潜在目标相关的独立 IP 地址。据信,此次攻击涉及 20 家潜在受害机构,这些机构的业务涵盖人工智能、加密货币、金融服务、IT 服务、市场营销和软件开发等领域。受影响的实体遍布欧洲、南亚、中东和中美洲,凸显了此次攻击活动的全球范围。
这些IP地址主要集中在南亚和北美,据评估,攻击目标是在2024年8月至2025年9月期间发起的。据报道,受影响的公司位于比利时、保加利亚、哥斯达黎加、印度、意大利、荷兰、巴基斯坦、罗马尼亚、阿拉伯联合酋长国和越南。
目录
PurpleBravo:一个活跃的朝鲜威胁集群
该活动被归因于一个名为 PurpleBravo 的与朝鲜有关联的组织,该组织最早于 2023 年底被发现。该组织在安全界拥有多个名称,反映出业界对其的广泛追踪:
CL-STA-0240、DeceptiveDevelopment、DEV#POPPER、Famous Chollima、Gwisin Gang、Tenacious Pungsan、UNC5342、Void Dokkaebi 和 WaterPlum
PurpleBravo 已证明其在长期基础设施、社会工程技术和恶意软件开发方面持续投入,这与网络间谍活动和金融盗窃相结合的目标相一致。
充分利用招聘流程和开发者生态系统
最新研究揭示了“传染性访谈”(Contagious Interview)攻击活动的一次重大演变,攻击者利用恶意 Microsoft Visual Studio Code 项目传播后门。这种策略滥用了受信任的开发者工具和工作流程,大大增加了入侵成功的可能性。
研究人员发现,一些冒充开发人员和招聘人员的虚假LinkedIn账号声称在乌克兰敖德萨运营,同时还存在恶意GitHub代码库,用于传播BeaverTail等恶意软件。据报道,在一些事件中,求职者在公司配发的设备上执行了恶意代码,导致攻击范围从个人扩展到企业环境。
恶意软件库和指挥基础设施
PurpleBravo 运营着独立的命令与控制基础设施,以支持多个恶意软件家族。这些家族包括 BeaverTail(一个基于 JavaScript 的信息窃取和加载程序)和 GolangGhost(也称为 FlexibleFerret 或 WeaselStore,一个基于 Go 语言的后门程序,源自开源的 HackBrowserData 项目)。
该组织的C2服务器分布在17家托管服务商处,并通过Astrill VPN进行管理,其管理活动可追溯至中国境内的IP地址段。此前朝鲜的网络行动中曾多次记录到使用Astrill VPN,这进一步增强了归因的可靠性。
与“工贼”IT工作者威胁的融合
经评估,“传染性访谈”行动与另一项名为“Wagemole”(PurpleDelta)的独立但相关的行动相辅相成。“Wagemole”行动中,朝鲜IT人员使用盗用或伪造的身份非法就业,主要目的是牟利和从事间谍活动。尽管“Wagemole”行动自2017年以来一直活跃,并被视为一个独立的犯罪集群,但调查人员发现,该行动与“传染性访谈”行动在策略和基础设施方面存在显著的重叠。
观察到的关联包括 PurpleBravo 操作员表现出与朝鲜 IT 工作人员一致的行为、与 PurpleBravo 基础设施通信的已知 IT 工作人员活动相关的俄罗斯 IP 地址,以及与这两个集群关联的共享 Astrill VPN 节点。
供应链和企业风险不断升级
尤其令人担忧的是,不法分子利用虚假招聘信息诱骗求职者在雇主拥有的系统上完成编码测试,这实际上是将招聘骗局转化为企业入侵途径。这表明,即使在广为人知的IT从业人员招聘计划之外,软件和IT供应链也极易受到渗透。
许多受攻击的目标组织都宣称拥有庞大的客户群,这加剧了下游供应链遭受攻击的可能性。安全研究人员警告说,虽然朝鲜IT从业人员的威胁已引起广泛关注,但PurpleBravo的供应链渗透模式同样值得重视。各组织应加强招聘流程、开发人员环境控制和第三方风险管理,以检测、阻止和防止敏感数据泄露给朝鲜威胁行为者。
