北韩黑客锁定在线求职者发动攻击的情况，最近2至3年不时有事故传出，其中专门针对开发人员而来的攻击行动Contagious Interview（也被称做Dev#Popper），引起多组研究人员关切，最近有了新的发现。

资安业者Group-IB指出，他们在8月中旬发现冒充视频会议软件FreeConference的恶意程序，经过分析确认是北韩黑客组织Lazarus使用的BeaverTail。这些黑客假借征才的名义，诱骗求职者下载含有BeaverTail的Node.js文件，一旦依照指示运行，此恶意软件便会进一步于受害电脑加载Python后门程序InvisibleFerret，研究人员指出，这些黑客原本针对Windows电脑下手，但从今年7月开始，针对macOS开发的BeaverTail也出现相关攻击行动。

而对于这些黑客从事的攻击行动，究竟出现那些变化？首先，是原本他们主要通过职场社群网站LinkedIn寻找下手目标，但现在也经由其他求职网站进行，这些包括：WWR、Moonlight、Upwork。

一旦他们成功取得联系，就会试图改用Telegram进行后续交谈，然后再进一步要求面试者下载特定的视频会议应用程序，或是Node.js项目，以便进行后续的面试流程。

研究人员提及，这些黑客原本主要关注与加密货币有关的存储库来引诱想要求职的专业人士，近期也使用类似的策略，将恶意JavaScript脚本注入与游戏有关的存储库，并以分析或调查为由，要求面试者下载恶意软件，但这次黑客的手法出现变化，他们开始以视频会议软件为由引诱面试者上当。

根据黑客散布冒牌FreeConference应用程序的网站hxxp://freeconference[.]io进行调查，研究人员发现该网站SSL凭证是在8月2日签发，与另一个用来散布BeaverTail冒牌MiroTalk网站mirotalk[.]net，都是由相同的单位进行签章。

研究人员从7月下旬至8月中旬，总共看到3个打包成Windows安装档（FCCCall.msi）的BeaverTail，指出这些软件以跨平台开发框架Qt6打造而成，不久后他们也看到macOS版恶意程序。

一旦用户启动视频会议软件，电脑就会要求输入会议邀请码，但在此同时，恶意程序也在后台运作。

此恶意程序专门从浏览器及其延伸套件当中，挖掘各式帐密数据，得逞后下载Python运行档及下个阶段的有效酬载InvisibleFerret。

值得留意的是，黑客不只针对Windows、macOS开发BeaverTail，他们也打造威力更强大的Python版本，除具备前述窃取数据的功能，并能为攻击者部署AnyDesk供远程存取，黑客也为其开发插件套件扩充其他功能。研究人员指出，他们看到尚未使用的新功能函数，研判黑客正积极开发该恶意程序。