安全机构慢雾发布紧急预警,北韩 Lazarus 组织旗下子组织 HexagonalRodent 正针对 Web3 开发者发动攻击,通过高薪远程岗位等社交工程手段,诱导开发者执行包含恶意软件后门的技能评估代码,最终窃取加密资产。根据 Expel 调查报告,2026 年前三个月,损失金额达 1,200 万美元。
攻击手法:技能评估代码是主要感染入口
攻击者首先通过 LinkedIn 或招聘平台联系目标,或建立虚假公司网站发布招聘信息,以“居家技能评估”为由让开发者运行恶意代码。评估代码包含两条感染途径:
VSCode tasks.json 攻击:恶意代码植入带有 runOn: folderOpen 指令的 tasks.json 文件,使开发者仅需在 VSCode 中打开代码文件夹,恶意软件即自动执行。
代码内置后门:评估代码本身嵌入后门,在代码执行时触发感染,针对未使用 VSCode 的开发者提供备用入口。
使用的恶意软件包括:BeaverTail(NodeJS 多功能窃密工具)、OtterCookie(NodeJS 反向 shell)和 InvisibleFerret(Python 反向 shell)。
首次供应链攻击:fast-draft VSX 扩展遭入侵
2026 年 3 月 18 日,HexagonalRodent 对 VSCode 扩展“fast-draft”发动了供应链攻击,通过受损扩展散布 OtterCookie 恶意软件。慢雾确认,2026 年 3 月 9 日,一名与 fast-draft 扩展开发者同名的用户已感染 OtterCookie。
若怀疑系统已受感染,可使用以下命令检查是否连接至已知 C2 服务器(195.201.104[.]53): MacOS/Linux:netstat -an | grep 195.201.104.53 Windows:netstat -an | findstr 195.201.104.53
AI 工具滥用:ChatGPT 与 Cursor 被确认遭恶意使用
HexagonalRodent 大量使用 ChatGPT 和 Cursor 辅助攻击,包括生成恶意代码和构建伪装公司网站。识别 AI 生成恶意代码的关键标志是代码中大量使用表情符号(在手写代码中极为罕见)。
Cursor 已在一个工作日内封锁相关账户及 IP;OpenAI 确认发现有限度的 ChatGPT 使用,表示这些账户所寻求的协助属于合法安全用例的双重用途场景,未发现持续的恶意软件开发活动。已确认至少 13 个受感染钱包的资金流向已知的北韩以太坊地址,收到超过 110 万美元。
常见问题
Web3 开发者如何保护自己免受此类攻击?
核心防护措施包括:(1)对陌生招聘方保持高度警惕,尤其是要求完成居家代码评估的机会;(2)在沙盒环境而非主系统中打开不熟悉的代码仓库;(3)定期检查 VSCode 的 tasks.json 文件,确认没有未授权的 runOn: folderOpen 任务;(4)使用硬件安全密钥保护加密钱包。
如何确认自己的系统是否已被感染?
执行快速自查命令:MacOS/Linux 用户运行 netstat -an | grep 195.201.104.53,Windows 用户运行 netstat -an | findstr 195.201.104.53,若发现与已知 C2 服务器的持久连接,应立即断网并进行全面的恶意软件扫描。
HexagonalRodent 为何选择 NodeJS 和 Python 作为恶意软件语言?
Web3 开发者通常已在系统上安装 NodeJS 和 Python,因此恶意进程能夠融入正常开发者活动而不触发警报。这两种语言不是传统反恶意软件系统的主要监控对象,加上商业代码混淆工具的使用,使得特征码检测极为困难。
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
La reorganización de Litecoin deshace el exploit de la capa de privacidad MWEB
Litecoin sufrió una profunda reorganización de cadena el sábado después de que los atacantes explotaran una vulnerabilidad de día cero en su capa de privacidad (MWEB) de la Extension Block de MimbleWimble, según la Litecoin Foundation. El incidente dio lugar a una reorganización de tres horas que borró transacciones inválidas de la
CryptoFrontierHace12m
Estafa de “Laptop Farm” de desarrolladores de TI de Corea del Norte: el cómplice estadounidense fue condenado a 7-9 años, acumuló 2,800 millones de dólares en dos años
Informe de Fortune: Corea del Norte, a través de granjas de portátiles dentro de Estados Unidos, obtuvo aproximadamente 2.800 millones de dólares de ingresos acumulados en dos años para apoyar armas nucleares; tributo anual de 250–600 millones de dólares. El sospechoso estadounidense Kejia Wang y Zhenxing Wang fueron condenados a 7,5 años y 9 años, respectivamente, por estar implicados en más de 100 empresas y 80 casos de suplantación de identidad. Corea del Norte opera en Estados Unidos mediante identidades estadounidenses y dispositivos fijos, y gran parte de los fondos se convierten en efectivo a través de criptomonedas. Los expertos advierten que la red de cómplices dentro del país aún existe; las empresas deben reforzar la verificación de identidad, el seguimiento de direcciones y el análisis de zona horaria/IP.
ChainNewsAbmediahace3h
La policía de Hong Kong advierte de un aumento de las estafas cripto; Dos mujeres pierden US$1,24M en las últimas semanas
Boletín de Gate News, 25 de abril — Dos mujeres de Hong Kong perdieron en total 9,7 millones de HK$ (US$1,24 millones) a estafadores de criptomonedas en las últimas semanas, lo que llevó a la policía local a emitir una advertencia pública. La policía de Hong Kong informó de más de 80 casos de fraude en una sola semana, con pérdidas totales que superan HK$80 millón (U
GateNewshace4h
Familias de malware para Android atacan aplicaciones bancarias y cripto de 800+ con tasas de detección casi nulas: Zimperium
Mensaje de Gate News, 25 de abril — La empresa de ciberseguridad Zimperium ha identificado cuatro familias activas de malware—RecruitRat, SaferRat, Astrinox y Massiv—dirigidas a más de 800 aplicaciones en los sectores de banca, criptomonedas y redes sociales. Las campañas emplean técnicas avanzadas de evasión del análisis y
GateNewshace6h
El token TRADOOR cae un 90% en 30 minutos en medio de sospechas de manipulación de precios y wash trading
Mensaje de Gate News, 25 de abril — El token TRADOOR registró una brusca caída del 90% de su precio en 30 minutos a las 2:00 AM de hoy, según el analista on-chain Specter. El token había subido hasta un 900% desde marzo de 2026 antes del repentino colapso, lo que genera sospechas de manipulación de precios y operaciones coordinadas
GateNewshace8h
El protocolo de préstamos Purrlend sufre un ataque y pierde $1.52 millones entre MegaETH y HyperEVM
Mensaje de Gate News, 25 de abril: el protocolo de préstamos Purrlend cayó víctima de ataques en ambas redes, MegaETH e HyperEVM, hoy, lo que resultó en pérdidas de aproximadamente $1.52 millones.
Los atacantes extrajeron aproximadamente $1.2 millones en activos de la red HyperEVM, incluidos 449,683 USDC, 214,125
GateNewshace8h
