朝鲜黑客组织Lazarus如何利用Git Hooks隐藏恶意软件攻击全链网络

最近安全圈里有个新发现，值得所有开发者，尤其是Web3和加密货币领域的同行们警惕。根据OpenSourceMalware的研究报告，臭名昭著的朝鲜黑客组织Lazarus又玩出了新花样。在他们针对开发者发起的“传染性面试”和“TaskJacker”等恶意活动中，攻击者将第二阶段的恶意加载器，巧妙地藏进了Git Hooks的pre-commit脚本里。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

“传染性面试”这个名头，听起来就挺有迷惑性。它本质上是一系列精心设计的钓鱼攻击。攻击者伪装成加密货币或DeFi领域的招聘方，在面试流程中要求开发者克隆一个指定的代码仓库，以此作为技术评估的一部分。一旦开发者照做，克隆下来的仓库里就暗藏了恶意代码，最终目标是窃取受害者的加密资产和各类登录凭证。

这次的新手法，是把恶意负载藏在了Git的“钩子”里。Git Hooks本是用于自动化工作流的合法工具，比如在提交代码前自动运行代码检查。Lazarus组织正是利用了这一点，将pre-commit这个钩子变成了加载恶意软件的触发器。当开发者毫无戒备地执行常规的git commit操作时，恶意代码便在后台悄然运行起来。

那么，面对这种防不胜防的“面试陷阱”，开发者该如何自保？安全研究员的建议非常明确：如果你在面试过程中被要求克隆一个陌生的代码仓库，务必保持最高级别的警惕。最稳妥的做法，是在一个完全隔离的沙箱或虚拟机环境中进行操作。切记，不要在这个环境中挂载你个人的浏览器配置文件、SSH密钥，尤其是加密钱&包——这等于直接把保险箱钥匙交给了窃贼。

话说回来，攻击手法的持续进化，恰恰说明了这类定向攻击的高价值与高威胁性。对于涉及敏感资产和代码的开发者而言，安全意识的优先级，必须提到和技术能力同等甚至更高的位置。毕竟，在数字世界里，一次轻信的操作，代价可能远超一次失败的面试。