安全機構慢霧發布緊急預警，北韓 Lazarus 組織旗下子組織 HexagonalRodent 正針對 Web3 開發者發動攻擊，透過高薪遠程崗位等社交工程手段，誘導開發者執行包含惡意軟件後門的技能評估代碼，最終竊取加密資產。根據 Expel 調查報告，2026 年前三個月，損失金額達 1,200 萬美元。

攻擊手法：技能評估代碼是主要感染入口

攻擊者首先通過 LinkedIn 或招聘平台聯繫目標，或建立虛假公司網站發佈招聘信息，以「居家技能評估」為由讓開發者運行惡意代碼。評估代碼包含兩條感染途徑：

VSCode tasks.json 攻擊：惡意代碼植入帶有 runOn: folderOpen 指令的 tasks.json 文件，使開發者僅需在 VSCode 中打開代碼文件夾，惡意軟件即自動執行。

代碼內置後門：評估代碼本身嵌入後門，在代碼執行時觸發感染，針對未使用 VSCode 的開發者提供備用入口。

使用的惡意軟件包括：BeaverTail（NodeJS 多功能竊密工具）、OtterCookie（NodeJS 反向 shell）和 InvisibleFerret（Python 反向 shell）。

首次供應鏈攻擊：fast-draft VSX 擴展遭入侵

2026 年 3 月 18 日，HexagonalRodent 對 VSCode 擴展「fast-draft」發動了供應鏈攻擊，通過受損擴展散布 OtterCookie 惡意軟件。慢霧確認，2026 年 3 月 9 日，一名與 fast-draft 擴展開發者同名的用戶已感染 OtterCookie。

若懷疑系統已受感染，可使用以下命令檢查是否連接至已知 C2 服務器（195.201.104[.]53）： MacOS/Linux：netstat -an | grep 195.201.104.53 Windows：netstat -an | findstr 195.201.104.53

AI 工具濫用：ChatGPT 與 Cursor 被確認遭惡意使用

HexagonalRodent 大量使用 ChatGPT 和 Cursor 輔助攻擊，包括生成惡意代碼和構建偽裝公司網站。識別 AI 生成惡意代碼的關鍵標誌是代碼中大量使用表情符號（在手寫代碼中極為罕見）。

Cursor 已在一個工作日內封鎖相關賬戶及 IP；OpenAI 確認發現有限度的 ChatGPT 使用，表示這些賬戶所尋求的協助屬於合法安全用例的雙重用途場景，未發現持續的惡意軟件開發活動。已確認至少 13 個受感染錢包的資金流向已知的北韓以太坊地址，收到超過 110 萬美元。

常見問題

Web3 開發者如何保護自己免受此類攻擊？

核心防護措施包括：（1）對陌生招聘方保持高度警覺，尤其是要求完成居家代碼評估的機會；（2）在沙盒環境而非主系統中打開不熟悉的代碼倉庫；（3）定期檢查 VSCode 的 tasks.json 文件，確認沒有未授權的 runOn: folderOpen 任務；（4）使用硬件安全密鑰保護加密錢包。

如何確認自己的系統是否已被感染？

執行快速自查命令：MacOS/Linux 用戶運行 netstat -an | grep 195.201.104.53，Windows 用戶運行 netstat -an | findstr 195.201.104.53，若發現與已知 C2 服務器的持久連接，應立即斷網並進行全面的惡意軟件掃描。

HexagonalRodent 為何選擇 NodeJS 和 Python 作為惡意軟件語言？

Web3 開發者通常已在系統上安裝 NodeJS 和 Python，因此惡意進程能夠融入正常開發者活動而不觸發警報。這兩種語言不是傳統反惡意軟件系統的主要監控對象，加上商業代碼混淆工具的使用，使得特徵碼檢測極為困難。

免責聲明：本頁面資訊可能來自第三方，不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考，不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證，對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為，價格波動劇烈，您可能損失全部投資本金。請充分了解相關風險，並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見聲明。

Zondacrypto 交易所遇 3.5 億美元挪用指控，執行長公開否認

安全事件平台風險

波蘭最大加密貨幣交易所之一 Zondacrypto 的執行長普熱米斯瓦夫·克拉爾（Przemysław Kral）於 4 月 16 日在社群媒體上公開聲明，該交易所無法存取一個持有 4,503 枚比特幣的錢包，現值逾 3.5 億美元。克拉爾公布了涉事錢包地址以否認挪用指控，但此一披露隨即引發大規模提現。

Market Whisper1小時前

Bitwarden CLI 惡意 npm 包曝光，加密錢包面臨竊取風險

安全事件

慢霧首席資訊安全長 23pds 轉發 Bitwarden 安全團隊警告，Bitwarden CLI 2026.4.0 版本曾於 4 月 22 日美東時間下午 5:57 至 7:30 的 1.5 小時內，通過 npm 發布惡意包被篡改的 npm 版本已被撤回，Bitwarden 官方確認密碼金庫數據和生產系統未受影響。

Market Whisper2小時前

摩根大通：KelpDAO 漏洞抹去 200 億 DeFi TVL，機構吸引力受損

監管政策安全事件鏈上數據行業報告

由分析師 Nikolaos Panigirtzoglou 領銜的摩根大通研究團隊，於 4 月 23 日發布報告指出，持續存在的安全漏洞與停滯不前的總鎖定價值（TVL）正在削弱去中心化金融（DeFi）對機構投資者的吸引力。報告強調，KelpDAO 漏洞在數日內抹去約 200 億美元的 DeFi TVL，暴露出結構性風險。

Market Whisper2小時前

CoW DAO 提議補償 cow.fi 域名劫持受害者，最高 100% 賠付損失

專案進展安全事件

CoW DAO 於 4 月 23 日在治理論壇發布補償提案（CIP），提議設立酌情補助計劃，為 4 月 14 日 cow.fi 域名劫持事件的受害者提供最高 100% 的損失補償。事件估計造成用戶損失約 120 萬美元 USDC，CoW DAO 強調，補償屬於自願發放的特惠性質，不代表承認任何法律責任。

Market Whisper2小時前

CryptoQuant：KelpDAO 漏洞引爆 2024 年來最嚴重危機，Aave TVL 暴跌 33%

價格異動資金流向安全事件平台風險鏈上數據

根據 CryptoQuant 於 4 月 23 日評估，上週發生的 KelpDAO 漏洞攻擊，在 72 小時內使 Aave 面臨 1.24 億至 2.3 億美元的潛在壞帳風險，TVL 暴跌 33%，USDT 和 USDC 借款利率從 3.4% 飆升至 14%，ETH 借款利率升至 2024 年 1 月來最高水準 8%。

Market Whisper2小時前

北韓 APT 組織 HexagonalRodent 使用 AI 驅動攻擊從 Web3 開發者竊取 $12M （加密貨幣）

執法行動安全事件 AI 行業動態

Gate News 消息，4 月 24 日——根據網路安全公司 Expel 的說法，一個被稱為 HexagonalRodent 的北韓國家支持 APT 組織在 2026 年第一季度從 Web3 開發者竊取了超過 $12 百萬美元的加密貨幣與 NFT。該組織攻陷了 2,726 台開發者裝置，並獲得了存取權

GateNews3小時前

留言

0/400

暫無留言