安全機構慢霧發布緊急預警,北韓 Lazarus 組織旗下子組織 HexagonalRodent 正針對 Web3 開發者發動攻擊,透過高薪遠程崗位等社交工程手段,誘導開發者執行包含惡意軟件後門的技能評估代碼,最終竊取加密資產。根據 Expel 調查報告,2026 年前三個月,損失金額達 1,200 萬美元。
手法攻擊:技能評估代碼是主要感染入口
攻擊者首先通過 LinkedIn 或招聘平台聯繫目標,或建立虛假公司網站發佈招聘信息,以「居家技能評估」為由讓開發者運行惡意代碼。評估代碼包含兩條感染途徑:
VSCode tasks.json 攻擊:惡意代碼植入帶有 runOn: folderOpen 指令的 tasks.json 文件,使開發者僅需在 VSCode 中打開代碼文件夾,惡意軟件即自動執行。
代碼內置後門:評估代碼本身嵌入後門,在代碼執行時觸發感染,針對未使用 VSCode 的開發者提供備用入口。
使用的惡意軟件包括:BeaverTail(NodeJS 多功能竊密工具)、OtterCookie(NodeJS 反向 shell)和 InvisibleFerret(Python 反向 shell)。
首次供應鏈攻擊:fast-draft VSX 擴展遭入侵
2026 年 3 月 18 日,HexagonalRodent 對 VSCode 擴展「fast-draft」發動了供應鏈攻擊,通過受損擴展散布 OtterCookie 惡意軟件。慢霧確認,2026 年 3 月 9 日,一名與 fast-draft 擴展開發者同名的用戶已感染 OtterCookie。
若懷疑系統已受感染,可使用以下命令檢查是否連接至已知 C2 服務器(195.201.104[.]53): MacOS/Linux:netstat -an | grep 195.201.104.53 Windows:netstat -an | findstr 195.201.104.53
濫用 AI 工具:ChatGPT 與 Cursor 被確認遭惡意使用
HexagonalRodent 大量使用 ChatGPT 和 Cursor 輔助攻擊,包括生成惡意代碼和構建偽裝公司網站。識別 AI 生成惡意代碼的關鍵標誌是代碼中大量使用表情符號(在手寫代碼中極為罕見)。
Cursor 已在一個工作日內封鎖相關賬戶及 IP;OpenAI 確認發現有限度的 ChatGPT 使用,表示這些賬戶所尋求的協助屬於合法安全用例的雙重用途場景,未發現持續的惡意軟件開發活動。已確認至少 13 個受感染錢包的資金流向已知的北韓以太坊地址,收到超過 110 萬美元。
常見問題
Web3 開發者如何保護自己免受此類攻擊?
核心防護措施包括:(1)對陌生招聘方保持高度警覺,尤其是要求完成居家代碼評估的機會;(2)在沙盒環境而非主系統中打開不熟悉的代碼倉庫;(3)定期檢查 VSCode 的 tasks.json 文件,確認沒有未授權的 runOn: folderOpen 任務;(4)使用硬件安全密鑰保護加密錢包。
如何確認自己的系統是否已被感染?
執行快速自查命令:MacOS/Linux 用戶運行 netstat -an | grep 195.201.104.53,Windows 用戶運行 netstat -an | findstr 195.201.104.53,若發現與已知 C2 服務器的持久連接,應立即斷網並進行全面的惡意軟件掃描。
HexagonalRodent 為何選擇 NodeJS 和 Python 作為惡意軟件語言?
Web3 開發者通常已在系統上安裝 NodeJS 和 Python,因此惡意進程能夠融入正常開發者活動而不觸發警報。這兩種語言不是傳統反惡意軟件系統的主要監控對象,加上商業代碼混淆工具的使用,使得特徵碼檢測極為困難。
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Лайткоїн зазнає глибокої реорганізації ланцюга після експлойту MWEB із zero-day, стираючи три години історії
Повідомлення Gate News, 26 квітня — Лайткоїн пережив глибоку реорганізацію ланцюга (reorg) у суботу після того, як нападники використали нульовий день (zero-day) у своєму шарі конфіденційності MimbleWimble Extension Block (MWEB), повідомляє Litecoin Foundation. Помилка дозволила майнінг-вузлам, що працюють на старіших версіях програмного забезпечення, валідовувати некоректну транзакцію MWEB, уможлививши нападникам “перекинути” LTC за межі розширення конфіденційності та спрямувати кошти на сторонні децентралізовані біржі. Одночасно великі майнінг-пули зазнали атак типу відмова в обслуговуванні (DoS), пов’язаних із тією ж вадою.
GateNews4год тому
Apecoin Insider Перетворює $174K на $2.45M за один день із 14x торгівлею з обох боків 80% сплеску
Анонімний гаманець без попередньої історії торгів перетворив $174,000 вартості ефіру на $2.45 мільйона, торгуючи Apecoin з обох боків 80% стрибка ціни за один день.
Основні висновки:
Гаманець 0x0b8a конвертував $174,000 у ETH у кредитно-плечовий лонг по Apecoin, вийшовши майже біля вершини для прибутку в $1.79M
Coinpedia5год тому
Поліція Гонконгу ліквідувала транснаціональне шахрайське угруповання, націлене на студентів за кордоном, вилучивши активи HK$5M
Повідомлення Gate News, 26 квітня — поліція Гонконгу ліквідувала транснаціональне шахрайське угруповання, яке націлювалося на студентів-етнічних китайців, що навчалися за кордоном, повідомляють місцеві медіа. За даними видань, угруповання видавало себе за співробітників правоохоронних органів і змушувало жертв приїжджати до Гонконгу, щоб купувати злитки золота як "c
GateNews5год тому
Реорганізація Litecoin скасовує експлойт у шарі приватності MWEB
Litecoin зазнав глибокої реорганізації ланцюга в суботу після того, як зловмисники використали уразливість нульового дня в його рівні приватності MimbleWimble Extension Block (MWEB), повідомляє Litecoin Foundation. Інцидент спричинив реорганізацію тривалістю три години, яка стерла недійсні транзакції з
CryptoFrontier10год тому
Шахрайство з підробкою Laptop Farm для IT-працівників з Північної Кореї: американського спільника засудили до 7–9 років, за два роки вивели 2,8 млрд доларів США
Фінансові повідомлення: повідомляється, що Північна Корея через лінійку ноутбуків (лептопів) на території США, за два роки в сумі отримала приблизно 2,8 мільярда доларів США доходу, щоб фінансувати ядерну зброю; щорічна данина становить 2,5–6 мільярдів доларів США. Громадянська підозрювана особа США Kejia Wang та Zhenxing Wang були засуджені відповідно до 7,5 років і 9 років; справа стосується понад 100 компаній і 80 осіб, чиї ідентифікаційні дані були використані без дозволу. Північна Корея працювала в США через американські ідентичності та стаціонарні пристрої; кошти здебільшого переводилися шляхом конвертації через криптовалюти. Експерти попереджають, що в країні все ще може існувати мережа спільників; компаніям потрібно посилити перевірку особи, відстеження адрес і аналіз часових поясів/IP.
ChainNewsAbmedia14год тому
Поліція Гонконгу попереджає про сплеск криптошахрайств; дві жінки втратили $1,24 млн за останні тижні
Повідомлення Gate News, 25 квітня — Дві жінки з Гонконгу втратили в сумі 9,7 млн HK$ (US$1,24 млн) шахраям з криптовалют протягом останніх тижнів, що спонукало місцеву поліцію опублікувати попередження. Поліція Гонконгу повідомила про понад 80 випадків шахрайства за один тиждень, а загальні втрати перевищили HK$80 млн (U
GateNews14год тому
