FERRET 恶意软件

据发现，Contagious Interview 活动背后的朝鲜网络特工以求职面试流程为幌子部署了统称为 FERRET 的 macOS 恶意软件。毫无戒心的目标被引导通过生成错误消息的链接与所谓的招聘人员进行交流，提示他们安装或更新 VCam 或 CameraAccess 等软件以继续进行面试。

传染性采访：持续不断的网络间谍活动

Contagious Interview 最初于 2023 年底被发现，是一场持续的活动，旨在通过欺骗性的 npm 包和伪装成视频会议软件的本机应用程序感染受害者。该活动还以 DeceptiveDevelopment 和 DEV#POPPER 等名称进行跟踪，并不断发展，采用越来越复杂的策略。

放弃 BeaverTail 和 InvisibleFerret

攻击序列通常会导致部署 BeaverTail，这是一种基于 JavaScript 的恶意软件，旨在从浏览器和加密货币钱包中提取敏感数据。该恶意软件还充当额外有效载荷的传递机制——一种基于 Python 的后门，称为 InvisibleFerret。

OtterCookie：另一层有害活动

2024 年 12 月，日本的网络安全研究人员发现了攻击链中的另一个组件：名为OtterCookie的恶意软件变种。此 JavaScript 恶意软件配置为获取和执行其他有害负载，从而进一步扩展了感染的功能。

利用 ClickFix 式欺骗手段完善逃避策略

当 FERRET 恶意软件家族在 2024 年底被发现时，研究人员注意到攻击者正在改进他们的方法以更好地逃避检测。一种值得注意的技术涉及 ClickFix 风格的方法，以解决摄像头和麦克风访问问题为借口诱骗用户在 macOS 终端应用程序中复制并执行不安全的命令。

通过 LinkedIn 锁定求职者

这些攻击的初始阶段通常始于 LinkedIn 推广，威胁者会假扮为招聘人员。他们的主要目标是说服潜在受害者接受视频评估，最终导致安装基于 Golang 的后门。这种恶意软件特别阴险，旨在从 MetaMask 钱包中窃取加密货币资金，同时还允许攻击者在受感染的设备上执行命令。

分解FERRET恶意软件组件

研究人员已经确定了与 FERRET 恶意软件家族相关的几个组件，每个组件在攻击序列中都发挥着不同的作用：

• FROSTYFERRET_UI：初始阶段的有效载荷，通常伪装成 ChromeUpdate 或 CameraAccess 应用程序。
• FRIENDLYFERRET_SECD：一种基于 Go 的二级后门，称为“com.apple.secd”，之前与针对加密货币业务的隐藏风险活动有关。
• MULTI_FROSTYFERRET_CMDCODES：支持第二阶段后门功能的 Go 配置文件。

FlexibleFerret：在 macOS 上建立持久性

还发现了一组单独的恶意软件工件，称为 FlexibleFerret。此变体专注于通过使用 LaunchAgent 在受感染的 macOS 系统中保持持久性。该恶意软件通过名为 InstallerAlert 的安装程序包提供，与“FROSTYFERRET_UI”的功能相似。

将攻击媒介扩展到求职者之外

虽然 FlexibleFerret 样本以 Apple Installer 软件包的形式分发，但用于说服受害者执行这些软件包的具体方法仍不清楚。不过，有证据表明，该恶意软件还通过在合法的 GitHub 存储库上创建虚假问题进行传播。这种策略的转变表明，其目标范围已不再仅限于求职者，而是针对科技行业的开发人员和其他专业人士。

随着朝鲜网络攻击者不断改进其欺骗手段，安全专家呼吁，在接触网上工作机会和软件安装提示时要提高警惕。