北韓駭客鎖定線上求職者發動攻擊的情況，最近2至3年不時有事故傳出，其中專門針對開發人員而來的攻擊行動Contagious Interview（也被稱做Dev#Popper），引起多組研究人員關切，最近有了新的發現。

在8月中旬，資安業者Group-IBy發現冒充視訊會議軟體FreeConference的惡意程式，經過分析確認是北韓駭客組織Lazarus使用的BeaverTail。這些駭客假借徵才的名義，誘騙求職者下載含有BeaverTail的Node.js檔案，一旦依照指示執行，此惡意軟體便會進一步於受害電腦載入Python後門程式InvisibleFerret，研究人員指出，這些駭客原本針對Windows電腦下手，但從今年7月開始，針對macOS開發的BeaverTail也出現相關攻擊行動。

這些駭客的攻擊行動還有那些變化？首先，是原本他們主要透過職場社群網站LinkedIn尋找下手目標，但現在也經由其他求職網站進行，這些包括：WWR、Moonlight、Upwork。

一旦他們成功取得聯繫，就會試圖改用Telegram進行後續交談，然後再進一步要求面試者下載特定的視訊會議應用程式，或是Node.js專案，以便進行後續的面試流程。

研究人員提及，這些駭客原本主要關注與加密貨幣有關的儲存庫來引誘想要求職的專業人士，近期也使用類似的策略，將惡意JavaScript指令碼注入與遊戲有關的儲存庫，並以分析或調查為由，要求面試者下載惡意軟體，但這次駭客的手法出現變化，他們開始以視訊會議軟體為由引誘面試者上當。

根據駭客散布冒牌FreeConference應用程式的網站hxxp://freeconference[.]io進行調查，研究人員發現該網站SSL憑證是在8月2日簽發，與另一個用來散布BeaverTail冒牌MiroTalk網站mirotalk[.]net，都是由相同的單位進行簽章。

研究人員從7月下旬至8月中旬，總共看到3個打包成Windows安裝檔（FCCCall.msi）的BeaverTail，指出這些軟體以跨平臺開發框架Qt6打造而成，不久後他們也看到macOS版惡意程式。

一旦使用者啟動視訊會議軟體，電腦就會要求輸入會議邀請碼，但在此同時，惡意程式也在後臺運作。

此惡意程式專門從瀏覽器及其延伸套件當中，挖掘各式帳密資料，得逞後下載Python執行檔，以及用於下個攻擊階段的有效酬載InvisibleFerret。

值得留意的是，駭客不只針對Windows、macOS開發BeaverTail，他們也打造威力更強大的Python版本，除具備前述竊取資料的功能，並能為攻擊者部署AnyDesk供遠端存取，駭客也為其開發外掛套件擴充其他功能。研究人員指出，他們看到尚未使用的新功能函數，研判駭客正積極開發該惡意程式。