共计 990 个字符,预计需要花费 3 分钟才能阅读完成。
</p/>
微软 Defender 专家团队发布最新报告,曝光了名为“传染性面试” 的网络攻击活动。这是一场高度成熟的 社会工程学攻击,至少从 2022 年 12 月起就开始秘密针对软件开发者。
此次攻击标志着攻击者入侵企业网络的方式出现了 针对性转变 。攻击者 滥用现代招聘流程中固有的信任关系 ,将攻击行为隐藏在正常流程中,从而成功绕过传统防御体系。
受害者收到的不只是一个恶意链接,而是被拉入一套 极其逼真的伪造招聘流程 ,包含招聘人员沟通、技术交流等全套环节。
陷阱通常在 任务测试阶段 被触发。攻击者伪装成加密货币或人工智能公司的招聘人员,诱导开发者执行看似正常的操作,最终导致设备被入侵:
- 恶意软件包 :要求受害者从 GitHub、Bitbucket 等平台克隆并运行 NPM 包 。
- IDE 漏洞利用 :在新版攻击中,黑客针对 Visual Studio Code 工作流。当受害者“信任”下载的代码库后,IDE 会自动执行任务配置文件,下载并安装后门。
- 伪造错误提示 :部分攻击将用户引导至虚假筛选页面,故意显示“技术故障”,然后诱导受害者复制粘贴命令“修复问题”,而该命令实际是安装恶意程序。
一旦开发者放松警惕,多款模块化后门就会接管设备。报告重点披露了以下恶意工具:
- OtterCookie:一款 隐蔽后门 ,用于深度系统侦察与凭证窃取。
- Invisible Ferret:基于 Python 的工具,可实现 远程命令执行、系统深度探测与持久化控制 。
- FlexibleFerret:模块化后门(支持 Go 与 Python),通过修改注册表项实现持久化驻留。
值得注意的是,这些工具的代码质量较为粗糙。微软发现其存在 不规范的异常处理 与 教程式注释 ,表明攻击者的开发模式 优先追求速度与功能实现,而非工程质量 ,相关代码可能借助 AI 编程工具生成。
此类攻击的目标绝非仅仅窃取一台笔记本。通过攻陷开发者终端,攻击者可获得通往企业 核心资产 的入口: 源代码、CI/CD 流水线与生产环境基础设施 。进而窃取云凭证、API 令牌、加密货币钱包等各类敏感信息。
为此,微软 Defender 专家建议: 企业应将招聘流程视为攻击面 。包括使用 隔离环境 进行编程测试,严密监控开发者构建工具,防范可疑依赖执行行为。
关于点小安 :点滴安全网站小编,专注 AI 安全攻防技术分享。
来源 :安全客
声明 :本文基于公开信息整理,观点仅供参考,不构成安全建议。
关注点滴安全(dripsafe.cn),获取更多 AI 安全资讯!
