朝鲜康尼集团部署AI生成的恶意软件，针对区块链工程师

2026-01-25 12:24:27

来源：CryptoNewsNet 原标题：朝鲜黑客利用AI恶意软件针对区块链工程师原始链接：朝鲜黑客组织Konni现正利用人工智能生成的恶意软件针对区块链工程师。据报道，该黑客组织正在部署由AI生成的PowerShell恶意软件，针对区块链行业的开发者和工程师。

据认为，朝鲜黑客组织自2014年起已开始运作，并与APT37和Kimusky活动群组有关联。该组织已针对韩国、乌克兰、俄罗斯及多个欧洲国家的机构展开攻击。根据威胁分析，最新的行动针对亚太地区。

攻击机制

攻击开始时，受害者会收到一个Discord链接，里面包含一个ZIP压缩包，内含诱饵PDF文件和一个恶意的LNK快捷方式文件。该LNK运行嵌入的PowerShell加载器，提取一个DOCX文档和一个包含PowerShell后门、批处理文件及UAC绕过可执行文件的CAB归档。

在快捷方式文件被启动后，DOCX文件打开并执行批处理文件。诱饵文档显示黑客旨在破坏开发环境，以获取敏感资产，包括基础设施、API凭证、钱包访问权限和数字资产持有量。

第一个批处理文件创建用于后门的临时目录，而第二个批处理文件则创建一个每小时运行的计划任务，模仿OneDrive的启动任务。该任务从磁盘读取一个XOR加密的PowerShell脚本，解密后在内存中执行，然后自我删除以抹除感染痕迹。

PowerShell后门通过算术编码字符串和运行时字符串重建隐藏其来源。研究人员发现其具有AI辅助开发的迹象，而非传统手工编写的恶意软件，包括：

这些元素常见于LLM生成的代码和教程，表明朝鲜黑客在恶意软件开发中使用了AI工具。

在执行前，恶意软件会进行硬件、软件和用户活动检测，以确保不会在分析环境中运行。一旦在感染设备上激活，恶意软件会定期联系指挥与控制(C2)服务器，发送主机元数据，并在随机间隔进行轮询。如果C2包含PowerShell代码，则会使用后台作业执行。

根据启动器格式相似性、诱饵名称和执行链结构与早期行动的重叠，可以将这些攻击归因于朝鲜的Konni威胁行为者。安全研究人员已发布相关指标，帮助防御者识别并防范此威胁。

此页面可能包含第三方内容，仅供参考（非陈述/保证），不应被视为 Gate 认可其观点表述，也不得被视为财务或专业建议。详见声明。

0/400

暂无评论