臭名昭著的北韓 Lazarus Group 被發現試圖透過假面試詐騙一名執行長。就在上週，駭客透過 LinkedIn 鎖定資安公司 AllSecure 負責人 Chris Papathanasiou，展開一場由國家支持的惡意軟體攻擊行動。

該手法相當精緻。一名名為 Nazar 的招募人員聯繫他 (Chris Papathanasiou)，表示有一個來自 0G Labs（正在建構 AI 專案的公司）的職缺。然而，這並非隨機訊息；內容包含專業職缺說明與預約與招聘經理 Pedro Perez de Ayala 通話的連結。
Deepfake 理論

詐騙幾乎成功。Chris 實際參加了視訊會議，而一般而言，看到對方出現在鏡頭前通常會建立信任。螢幕上的人物短暫顯示出與真實 Pedro LinkedIn 個人資料相符的臉孔，但情況顯得異常。

Chris 表示：「當我開始懷疑時，我在對話中途開始錄影。」他指出，對方聲音與網路上可找到的 Pedro Ayala 公開影片並不一致。進一步檢查顯示，駭客可能正在使用即時 Deepfake 技術或竊用身分。當面試官堅持要求 Chris 下載一個程式碼資料夾並在 VS Code 中開啟進行技術測試時，這位執行長感到不對勁，並直接告訴對方「滾開」。

三重陷阱：BeaverTail 攻擊

根據 AllSecure 部落格文章，事件並未就此結束。Chris 決定在安全隔離的虛擬機器中下載程式碼進行調查。結果發現，在專案資料夾內存在三種獨立的感染方式，即使其中一種失敗，其他方式仍能接管系統。

程式碼中包含一種極為隱蔽的惡意軟體 BeaverTail，一旦開啟資料夾即會執行。它會對電腦進行指紋識別，記錄電腦名稱等資訊，並每五秒向秘密伺服器發送訊號。當駭客發現 Chris 是在專業資料中心而非家用筆電上進行分析時，便立即啟動「終止開關」刪除其活動痕跡。

攻擊目標為何？

若攻擊成功，後果將十分嚴重。研究人員指出，其「最終目標」是「竊取你的加密貨幣錢包、瀏覽器密碼、SSH 金鑰、環境變數祕密資訊——一切。」他們甚至鎖定 MetaMask 帳戶與 Chrome、Brave 等瀏覽器儲存的登入資料。

此攻擊被歸因於 Lazarus Group，因其所使用的方法——包括程式碼撰寫方式、惡意軟體種類，以及曾與北韓行動相關的伺服器——與該組織過往行動模式完全吻合。

為了保持安全，建議在開發工具中停用自動任務功能。若招募人員強迫你使用特定軟體才能查看工作任務，應視為重大警訊。

資料來源：https://hackread.com/fake-linkedin-interview-lazarus-hackers-allsecure-ceo/