安全机构慢雾发布紧急预警，北韩 Lazarus 组织旗下子组织 HexagonalRodent 正针对 Web3 开发者发动攻击，通过高薪远程岗位等社交工程手段，诱导开发者执行包含恶意软件后门的技能评估代码，最终窃取加密资产。根据 Expel 调查报告，2026 年前三个月，损失金额达 1,200 万美元。

攻击手法：技能评估代码是主要感染入口

攻击者首先通过 LinkedIn 或招聘平台联系目标，或建立虚假公司网站发布招聘信息，以「居家技能评估」为由让开发者运行恶意代码。评估代码包含两条感染途径：

VSCode tasks.json 攻击：恶意代码植入带有 runOn: folderOpen 指令的 tasks.json 文件，使开发者仅需在 VSCode 中打开代码文件夹，恶意软件即自动执行。

代码内置后门：评估代码本身嵌入后门，在代码执行时触发感染，针对未使用 VSCode 的开发者提供备用入口。

使用的恶意软件包括：BeaverTail（NodeJS 多功能窃密工具）、OtterCookie（NodeJS 反向 shell）和 InvisibleFerret（Python 反向 shell）。

首次供应链攻击：fast-draft VSX 扩展遭入侵

2026 年 3 月 18 日，HexagonalRodent 对 VSCode 扩展「fast-draft」发动了供应链攻击，通过受损扩展散布 OtterCookie 恶意软件。慢雾确认，2026 年 3 月 9 日，一名与 fast-draft 扩展开发者同名的用户已感染 OtterCookie。

若怀疑系统已受感染，可使用以下命令检查是否连接至已知 C2 服务器（195.201.104[.]53）： MacOS/Linux：netstat -an | grep 195.201.104.53 Windows：netstat -an | findstr 195.201.104.53

AI 工具滥用：ChatGPT 与 Cursor 被确认遭恶意使用

HexagonalRodent 大量使用 ChatGPT 和 Cursor 辅助攻击，包括生成恶意代码和构建伪装公司网站。识别 AI 生成恶意代码的关键标志是代码中大量使用表情符号（在手写代码中极为罕见）。

Cursor 已在一个工作日内封锁相关账户及 IP；OpenAI 确认发现有限度的 ChatGPT 使用，表示这些账户所寻求的协助属于合法安全用例的双重用途场景，未发现持续的恶意软件开发活动。已确认至少 13 个受感染钱包的资金流向已知的北韩以太坊地址，收到超过 110 万美元。

常见问题

Web3 开发者如何保护自己免受此类攻击？

核心防护措施包括：（1）对陌生招聘方保持高度警惕，尤其是要求完成居家代码评估的机会；（2）在沙盒环境而非主系统中打开不熟悉的代码仓库；（3）定期检查 VSCode 的 tasks.json 文件，确认没有未授权的 runOn: folderOpen 任务；（4）使用硬件安全密钥保护加密钱包。

如何确认自己的系统是否已被感染？

执行快速自查命令：MacOS/Linux 用户运行 netstat -an | grep 195.201.104.53，Windows 用户运行 netstat -an | findstr 195.201.104.53，若发现与已知 C2 服务器的持久连接，应立即断网并进行全面的恶意软件扫描。

HexagonalRodent 为何选择 NodeJS 和 Python 作为恶意软件语言？

Web3 开发者通常已在系统上安装 NodeJS 和 Python，因此恶意进程能够融入正常开发者活动而不触发警报。这两种语言不是传统反恶意软件系统的主要监控对象，加上商业代码混淆工具的使用，使得特征码检测极为困难。

免责声明：本页面信息可能来自第三方，不代表 Gate 的观点或意见。页面显示的内容仅供参考，不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证，对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为，价格波动剧烈，您可能损失全部投资本金。请充分了解相关风险，并根据自身财务状况和风险承受能力谨慎决策。具体内容详见声明。

Zondacrypto交易所遭3.5亿美元挪用指控，执行长公开否认

安全事件平台风险

波兰最大的加密货币交易所之一 Zondacrypto 的执行长普热米斯瓦夫·克拉尔（Przemysław Kral）于 4 月 16 日在社交媒体上公开声明，该交易所无法存取一个持有 4,503 枚比特币的钱包，现值逾 3.5 亿美元。克拉尔公布了涉事钱包地址以否认挪用指控，但此一披露随即引发大规模提现。

Market Whisper1小时前

Bitwarden CLI 惡意 npm 包曝光，加密錢包面臨竊取風險

安全事件

慢霧首席信息安全官 23pds 转发 Bitwarden 安全团队警告，Bitwarden CLI 2026.4.0 版本曾于 4 月 22 日美东时间下午 5:57 至 7:30 的 1.5 小时内，通过 npm 发布恶意包被篡改的 npm 版本已被撤回，Bitwarden 官方确认密码金库数据和生产系统未受影响。

Market Whisper2小时前

摩根大通：KelpDAO 漏洞抹去 200 亿 DeFi TVL，机构吸引力受损

监管政策安全事件链上数据行业报告

由分析师 Nikolaos Panigirtzoglou 领衔的摩根大通研究团队，于 4 月 23 日发布报告指出，持续存在的安全漏洞与停滞不前的总锁定价值（TVL）正在削弱去中心化金融（DeFi）对机构投资者的吸引力。报告强调，KelpDAO 漏洞在数日内抹去约 200 亿美元的 DeFi TVL，暴露出结构性风险。

Market Whisper2小时前

CoW DAO 提议补偿 cow.fi 域名劫持受害者，最高 100% 赔付损失

项目进展安全事件

CoW DAO 于 4 月 23 日在治理论坛发布补偿提案（CIP），提议设立酌情补助计划，为 4 月 14 日 cow.fi 域名劫持事件的受害者提供最高 100% 的损失补偿。事件估计造成用户损失约 120 万美元 USDC，CoW DAO 强调，补偿属于自愿发放的特惠性质，不代表承认任何法律责任。

Market Whisper2小时前

CryptoQuant：KelpDAO 泄露漏洞引爆 2024 年以来最严重危机，Aave TVL 暴跌 33%

价格异动资金流向安全事件平台风险链上数据

根据 CryptoQuant 在 4 月 23 日评估，上周发生的 KelpDAO 漏洞攻击，在 72 小时内使 Aave 面临 1.24 亿至 2.3 亿美元的潜在坏账风险，TVL 暴跌 33%，USDT 和 USDC 借款利率从 3.4% 飙升至 14%，ETH 借款利率升至 2024 年 1 月以来最高水平 8%。

Market Whisper2小时前

朝鲜 APT 组织 HexagonalRodent 使用 AI 驱动的攻击从 Web3 开发者处窃取 $12M （加密货币）

执法行动安全事件 AI 行业动态

Gate News 消息，4月24日——根据网络安全公司 Expel 的说法，一个被称为 HexagonalRodent 的朝鲜国家资助 APT 组织在 2026 年第一季度从 Web3 开发者手中窃取了超过 $12 百万美元的加密货币和 NFT。该组织攻破了 2,726 台开发者设备，并获得了对 26,584 个加密钱包的访问权限.

GateNews3小时前

0/400

暂无评论