资安业者AhnLab指出，他们与韩国国家网络安全中心（NCSC）联手，揭露利用零时差漏洞CVE-2024-38178的攻击行动Operation Code on Toast，这项漏洞存在于IE浏览器，CVSS风险为7.5分，微软获报后在今年8月修补。

研究人员指出，这起攻击行动背后的主谋，是匿称为TA-RedAnt、RedEyes、APT37的北韩黑客ScarCruft，这些黑客的主要目标包含脱北者，以及参与北韩事务的人士。而在这次攻击行动里，他们针对IE的JavaScript引擎组件jscript9.dll下手，危害名为Toast的广告程序系统。

一旦黑客得逞，就会将漏洞利用代码注入服务器的广告脚本，当程序下载并呈现广告内容，就会触发这项漏洞，而且，过程中无须用户进行交互。

这项漏洞之所以发生，起因是IE的JavaScript引擎在优化过程里，会将其中一种类型的数据误以为另一种数据，从而导致类型混淆。

为了利用这项漏洞，攻击者引诱用户在安装Toast广告程序的电脑下载恶意软件，等到成功感染系统之后，攻击者就能运行各种恶意行为。