多年来,国家赞助的黑客攻击是由在发现安全漏洞、编写恶意软件和漏洞、执行社会工程和网络钓鱼攻击等方面的人类专业知识来定义的。
自LLM驱动的人工智能助手和工具问世以来,技能较低的攻击者能够进行攻击和妥协,否则可能是他们无法触及的。
案例:六角形啮齿动物。根据Expel的研究,该小组大量使用生成性人工智能,遥测显示在整个运营中积极使用Cursor(一种人工智能原生代码编辑器)和ChatGPT。
谁是HexagonalRodent?
HexagonalRodent是一个由国家赞助的朝鲜APT集团,根据Expel的评估,它是Famous Chollima的子集团或运营分支,该公司专门通过冒着合法的远程IT工作者渗透公司。
该集团的恶意软件工具包BeaverTail、OtterCookie和InvisibleFerret在朝鲜生态系统中的几个不同的集群中共享,每个集群都有自己的目标优先级和操作风格。
其中一些集群对主要加密交易所的网络进行复杂的入侵,但HexagonalRodent专门针对单个Web3开发人员。
个人加密投资者和小型区块链项目通常拥有大量数字资产,但缺乏企业级安全基础设施。与主要加密货币交易所不同,拥有40万美元软件钱包的独家开发人员是一个软目标。
HexagonalRodent的典型攻击从运行恶意软件的社交工程目标开始。他们通过联系网络开发人员提供工作机会来做到这一点,通常通过领英。
该小组还建立了精心设计的假公司网站,并伪造了这些公司的LinkedIn,然后在以Web3为重点的职业平台上列出职位空缺。
目标申请职位后,他们被要求完成编码技能测试。他们在VSCode中打开项目文件夹,并触发恶意软件的执行。
“此外,技能评估在实际代码中有后门,这些后门被设计为在代码运行时执行。Expel研究员Marcus Hutchins解释说:“对于不使用VSCode的目标,这是主要感染载体,也是用户在安全模式下打开项目或禁用VSCode任务时的回退。”
该小组使用人工智能驱动的工具
对于HexagonalRodent成员来说,人工智能降低了进入门槛,并使他们能够执行曾经需要流利的语言技能、复杂的代码修改、谨慎的角色管理的操作。这些功能现在部分“外包”给为合法使用而构建的商业人工智能工具。
该小组使用:
- 人工智能驱动的网站设计和开发平台Anima创建假公司网站
- 开发新的恶意软件加载程序的光标,以及
- ChatGPT帮助他们处理密码恢复和凭据安全工作流程、服务器和基础设施安全、开发人员故障排除和加密钱包恢复流程等问题,以及可能还有社会工程层。
Expel通知了OpenAI和Cursor该组的活动。Cursor确认它已经封锁了与攻击相关的帐户和IP地址,OpenAI承认,少数帐户在具有双重用途(即积极和消极)潜力的主题上寻求帮助,但表示这些互动相当于有限的使用,而不是持续的恶意软件开发,安全系统重定向了公开的恶意请求。
尽管如此,Expel还是发现了该团体使用两个似乎“振动编码”的新工具的证据。
“我们还看到一些威胁行为者促使各种美国拥有的人工智能模型对其恶意软件的技能评估代码进行审计的证据。Hutchins指出:“我们认为这可能是试图防止其后门人工智能的一部分。”
“以前,由于目标使用人工智能来审核技能评估的源代码,威胁行为者的几个活动被烧毁。前沿人工智能模型通常可以轻松找到后门,导致几个目标公开出威胁者的角色。”
为什么HexagonalRodent一直取得成功
Expel的广泛研究成功地绘制了HexagonalRodent在过去几个月的成就,它们令人惊讶。
Hutchins分享道:“从数据中包含的受害者IP地址和系统主机名中,我们可以推断出,威胁行为者的活动从2726个受感染的开发人员系统中共从26,584个加密货币钱包中挖掘出来。”
价值约1200万美元的加密资产中,有多少是从这些钱包中被盗的还不得而知。
该小组的隐蔽方法和行动往往在一段时间内不被注意到,由于它不追求公司网络内的横向移动,它留下了更小的法医足迹。
他们的振动编码恶意软件也经常在端点检测和响应解决方案的雷达下飞行。(尽管,这也有助于个人开发人员并不总是运行EDR或其他安全解决方案。)
“该小组使用商业JavaScript混淆器obfuscator.io,合法开发人员使用它来保护他们的源代码免受逆向工程和/或盗窃。这使得编写反恶意软件签名变得极其困难,因为混淆的JS恶意软件看起来就像任何其他JS混淆代码一样,”Hutchins指出。
最后,该小组用NodeJS和Python编写其恶意软件,这两种编程语言被开发人员广泛使用,但很少被恶意软件创建者使用,因为这些语言运行时没有安装在典型的计算机上。
但HexagonalRodent针对软件开发人员,他们几乎总是同时安装。对攻击者来说,看到NodeJS代码在NodeJS开发人员的机器上运行看起来完全正常。恶意软件与受害者的日常工作融为一体,隐藏在众目睽睽之下。
原文链接地址:https://www.helpnetsecurity.com/2026/04/23/hexagonalrodent-north-korean-hackers-targeting-developers/
