安全機構慢霧發布緊急預警,北韓 Lazarus 組織旗下子組織 HexagonalRodent 正針對 Web3 開發者發動攻擊,透過高薪遠程崗位等社交工程手段,誘導開發者執行包含惡意軟件後門的技能評估代碼,最終竊取加密資產。根據 Expel 調查報告,2026 年前三個月,損失金額達 1,200 萬美元。
方法攻擊:技能評估代碼是主要感染入口
攻擊者首先通過 LinkedIn 或招聘平台聯繫目標,或建立虛假公司網站發佈招聘信息,以「居家技能評估」為由讓開發者運行惡意代碼。評估代碼包含兩條感染途徑:
VSCode tasks.json 攻擊:惡意代碼植入帶有 runOn: folderOpen 指令的 tasks.json 文件,使開發者僅需在 VSCode 中打開代碼文件夾,惡意軟件即自動執行。
代碼內置後門:評估代碼本身嵌入後門,在代碼執行時觸發感染,針對未使用 VSCode 的開發者提供備用入口。
使用的惡意軟件包括:BeaverTail(NodeJS 多功能竊密工具)、OtterCookie(NodeJS 反向 shell)和 InvisibleFerret(Python 反向 shell)。
首次供應鏈攻擊:fast-draft VSX 擴展遭入侵
2026 年 3 月 18 日,HexagonalRodent 對 VSCode 擴展「fast-draft」發動了供應鏈攻擊,通過受損擴展散布 OtterCookie 惡意軟件。慢霧確認,2026 年 3 月 9 日,一名與 fast-draft 擴展開發者同名的用戶已感染 OtterCookie。
若懷疑系統已受感染,可使用以下命令檢查是否連接至已知 C2 服務器(195.201.104[.]53): MacOS/Linux:netstat -an | grep 195.201.104.53 Windows:netstat -an | findstr 195.201.104.53
AI 工具濫用:ChatGPT 與 Cursor 被確認遭惡意使用
HexagonalRodent 大量使用 ChatGPT 和 Cursor 輔助攻擊,包括生成惡意代碼和構建偽裝公司網站。識別 AI 生成惡意代碼的關鍵標誌是代碼中大量使用表情符號(在手寫代碼中極為罕見)。
Cursor 已在一個工作日內封鎖相關賬戶及 IP;OpenAI 確認發現有限度的 ChatGPT 使用,表示這些賬戶所尋求的協助屬於合法安全用例的雙重用途場景,未發現持續的惡意軟件開發活動。已確認至少 13 個受感染錢包的資金流向已知的北韓以太坊地址,收到超過 110 萬美元。
常見問題
Web3 開發者如何保護自己免受此類攻擊?
核心防護措施包括:(1)對陌生招聘方保持高度警覺,尤其是要求完成居家代碼評估的機會;(2)在沙盒環境而非主系統中打開不熟悉的代碼倉庫;(3)定期檢查 VSCode 的 tasks.json 文件,確認沒有未授權的 runOn: folderOpen 任務;(4)使用硬件安全密鑰保護加密錢包。
如何確認自己的系統是否已被感染?
執行快速自查命令:MacOS/Linux 用戶運行 netstat -an | grep 195.201.104.53,Windows 用戶運行 netstat -an | findstr 195.201.104.53,若發現與已知 C2 服務器的持久連接,應立即斷網並進行全面的惡意軟件掃描。
HexagonalRodent 為何選擇 NodeJS 和 Python 作為惡意軟件語言?
Web3 開發者通常已在系統上安裝 NodeJS 和 Python,因此惡意進程能夠融入正常開發者活動而不觸發警報。這兩種語言不是傳統反惡意軟件系統的主要監控對象,加上商業代碼混淆工具的使用,使得特徵碼檢測極為困難。
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
США вводят санкции против кхмерских высокопоставленных лиц за мошеннические «парки» стоимостью в 10 миллиардов! Tether заморозил более 344 миллионов долларов США USDT
Недавно Министерство финансов и Министерство юстиции США провели совместную операцию по борьбе с «пиг-баучингом» — мошенничеством с романтическими свиданиями и вербовкой в сфере криптовалют, которое в последние время все более нагло процветает в Юго-Восточной Азии. В официальном сообщении о санкциях власти заявили о введении ограничительных мер в отношении камбоджийского сенатора Лоанга (Kok An) и 28 физических лиц и организаций в его преступной сети, обвинив их в том, что они использовали политическое влияние и собственные казино-площадки, укрывая крупномасштабные мошеннические и торговлей людьми. По оценкам, эти мошеннические действия ежегодно приводят к потерям американских граждан до 10 млрд долларов. В рамках этой операции по пресечению деятельности компания-эмитент стейблкоинов Rether также уже заморозила более 344 млн долларов в цифровых активах, связанных с делом.
Мошенничество «романтика-пиг-баучинг»: потери американских граждан за год превысили 10 млрд долларов
В последние годы международные преступные организации, базирующиеся в Юго-Восточной Азии, в массовом порядке используют мошенническую схему под названием «пиг-баучинг» (Pig Butchering). Мошенники будут через социальные сети или мессенджеры тратить месяцы
ChainNewsAbmedia8м назад
Солдат армии США арестован за использование засекреченной информации для ставки на задержание Мадуро на Polymarket
Сообщение Gate News, 24 апреля — Министерство юстиции США арестовало военнослужащего действующей службы армии США Гэннона Кена Ван Дайка, 38 лет, по обвинениям в использовании конфиденциальной информации для заключения ставок на Polymarket — прогностическом рынке — относительно задержания бывшего президента Венесуэлы Николаса Мадуро. Ван Дайк участвовал в
GateNews14м назад
Криптобиржа Zondacrypto сталкивается с обвинениями в присвоении 350 миллионов долларов, генеральный директор публично отрицает
Один из крупнейших криптовалютных бирж Польши Zondacrypto. Его генеральный директор Пржемыслав Крал (Przemysław Kral) 16 апреля публично заявил в социальных сетях, что биржа не может получить доступ к кошельку, в котором хранится 4 503 биткоина; текущая стоимость превышает 350 миллионов долларов США. Крал опубликовал адрес соответствующего кошелька, чтобы опровергнуть обвинения в присвоении, но данное раскрытие сразу же вызвало массовые выводы средств.
MarketWhisper2ч назад
Обнаружен вредоносный npm-пакет в Bitwarden CLI, криптокошельки сталкиваются с риском кражи
Chief Information Security Officer of Slow Fog 23pds forwards Bitwarden security team warning. Bitwarden CLI 2026.4.0 version within 1.5 hours from 5:57 PM to 7:30 PM Eastern Time on April 22 had already been withdrawn npm versions that had released malicious packages through npm that were tampered with. Bitwarden officially confirmed that password vault data and production systems were not affected.
MarketWhisper2ч назад
JPMorgan: KelpDAO уязвимость стёрла 20 млрд DeFi TVL, инвестиционная привлекательность институтов пострадала
Команда исследователей JPMorgan под руководством аналитика Николаоса Панагиртцоглу 23 апреля опубликовала отчет, в котором говорится, что сохраняющиеся уязвимости безопасности и стагнирующая общая стоимость заблокированных средств (TVL) подрывают привлекательность децентрализованных финансов (DeFi) для институциональных инвесторов. В отчете подчеркивается, что уязвимость KelpDAO за считанные дни уничтожила примерно 200 млрд долларов DeFi TVL, выявив структурные риски.
MarketWhisper2ч назад
CoW DAO 提议 компенсировать cow.fi 域名劫持受害者,最高 100% 赔付损失
CoW DAO 23 апреля в ходе форума по вопросам управления опубликовала компенсационное предложение (CIP), в котором предлагается создать программу дискреционных субсидий, чтобы предоставить пострадавшим от инцидента с захватом домена cow.fi, произошедшего 14 апреля, компенсацию ущерба в размере до 100%. Оценочно инцидент привел к потерям пользователей примерно на 1,2 млн долларов США USDC. CoW DAO подчеркивает, что компенсации носят добровольный характер и являются мерой особой поддержки, а не означают признание какой-либо юридической ответственности.
MarketWhisper2ч назад
