安全机构慢雾发布紧急预警，北韩 Lazarus 组织旗下子组织 HexagonalRodent 正针对 Web3 开发者发动攻击，通过高薪远程岗位等社交工程手段，诱导开发者执行包含恶意软件后门的技能评估代码，最终窃取加密资产。根据 Expel 调查报告，2026 年前三个月，损失金额达 1,200 万美元。

攻击手法：技能评估代码是主要感染入口

攻击者首先通过 LinkedIn 或招聘平台联系目标，或建立虚假公司网站发布招聘信息，以「居家技能评估」为由让开发者运行恶意代码。评估代码包含两条感染途径：

VSCode tasks.json 攻击：恶意代码植入带有 runOn: folderOpen 指令的 tasks.json 文件，使开发者仅需在 VSCode 中打开代码文件夹，恶意软件即自动执行。

代码内置后门：评估代码本身嵌入后门，在代码执行时触发感染，针对未使用 VSCode 的开发者提供备用入口。

使用的恶意软件包括：BeaverTail（NodeJS 多功能窃密工具）、OtterCookie（NodeJS 反向 shell）和 InvisibleFerret（Python 反向 shell）。

首次供应链攻击：fast-draft VSX 扩展遭入侵

2026 年 3 月 18 日，HexagonalRodent 对 VSCode 扩展「fast-draft」发动了供应链攻击，通过受损扩展散布 OtterCookie 恶意软件。慢雾确认，2026 年 3 月 9 日，一名与 fast-draft 扩展开发者同名的用户已感染 OtterCookie。

若怀疑系统已受感染，可使用以下命令检查是否连接至已知 C2 服务器（195.201.104[.]53）： MacOS/Linux：netstat -an | grep 195.201.104.53 Windows：netstat -an | findstr 195.201.104.53

AI 工具滥用：ChatGPT 与 Cursor 被确认遭恶意使用

HexagonalRodent 大量使用 ChatGPT 和 Cursor 辅助攻击，包括生成恶意代码和构建伪装公司网站。识别 AI 生成恶意代码的关键标志是代码中大量使用表情符号（在手写代码中极为罕见）。

Cursor 已在一个工作日内封锁相关账户及 IP；OpenAI 确认发现有限度的 ChatGPT 使用，表示这些账户所寻求的协助属于合法安全用例的双重用途场景，未发现持续的恶意软件开发活动。已确认至少 13 个受感染钱包的资金流向已知的北韩以太坊地址，收到超过 110 万美元。

常见问题

Web3 开发者如何保护自己免受此类攻击？

核心防护措施包括：（1）对陌生招聘方保持高度警惕，尤其是要求完成居家代码评估的机会；（2）在沙盒环境而非主系统中打开不熟悉的代码仓库；（3）定期检查 VSCode 的 tasks.json 文件，确认没有未授权的 runOn: folderOpen 任务；（4）使用硬件安全密钥保护加密钱包。

如何确认自己的系统是否已被感染？

执行快速自查命令：MacOS/Linux 用户运行 netstat -an | grep 195.201.104.53，Windows 用户运行 netstat -an | findstr 195.201.104.53，若发现与已知 C2 服务器的持久连接，应立即断网并进行全面的恶意软件扫描。

HexagonalRodent 为何选择 NodeJS 和 Python 作为恶意软件语言？

Web3 开发者通常已在系统上安装 NodeJS 和 Python，因此恶意进程能够融入正常开发者活动而不触发警报。这两种语言不是传统反恶意软件系统的主要监控对象，加上商业代码混淆工具的使用，使得特征码检测极为困难。

免责声明：本页面信息可能来自第三方，不代表 Gate 的观点或意见。页面显示的内容仅供参考，不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证，对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为，价格波动剧烈，您可能损失全部投资本金。请充分了解相关风险，并根据自身财务状况和风险承受能力谨慎决策。具体内容详见声明。

加州22岁加密货币洗钱者因$263M 诈骗计划被判70个月

执法行动安全事件

Gate News消息，4月25日——22岁的伊万·坦格曼（Evan Tangeman）来自美国加利福尼亚州纽波特海滩，因其在洗钱$263 百万美元方面的角色，于4月24日被判处70个月监禁。该款项系通过一项大规模加密货币诈骗计划获得。美国华盛顿特区地区法院作出该判决

GateNews4 分钟前

哥伦比亚与美国当局瓦解价值 1.9 亿美元的与 CJNG 关联的加密洗钱网络

执法行动安全事件

Gate News 消息，4 月 25 日——哥伦比亚和美国执法机构已联合瓦解一个与墨西哥哈利斯科新生代贩毒集团 (CJNG) 相关的跨国加密货币洗钱网络。该网络已通过加密渠道转移超过 $190 百万的非法资金

GateNews2小时前

法国自2023年以来报告135起与加密货币相关的绑架案件；包括未成年人；75人被拘留

执法行动安全事件

Gate News 消息，4月25日——法国有组织犯罪检察办公室 (PNACO) 表示，自2023年以来，该国已记录 135 起与加密货币相关的绑架或未遂绑架案件。在目前正在调查的 12 起案件中，已有 88 名个人被正式

GateNews3小时前

加州男子因在 $263M 加密盗窃计划中的洗钱行为被判处70个月

执法行动安全事件

Gate News 消息，4月25日——根据美国司法部的说法，来自加利福尼亚州纽波特比奇的22岁男子埃文·坦杰曼（Evan Tangeman）因其在一个跨多个州的社交工程犯罪团伙中的角色，被判处联邦监禁70个月，并被判处3年监督释放。该团伙偷走的加密货币金额超过 $263 百万

GateNews6小时前

3.5 个月内法国 41 起加密绑架；Durov 归咎数据泄露

地缘政治安全事件平台风险

Gate News 消息，4月24日——据 Telegram 创始人 Pavel Durov 称，在 2026 年仅 3.5 个月内，法国已发生 41 起对加密货币持有者的绑架事件，他将激增归因于大规模的数据泄露。Durov 在一则 X 帖子中强调，敏感个人数据——包括税务机关掌握的信息，以及法国安全文件署发生的重大泄露中的信息——已经暴露了大约 1900 万人的姓名、地址和电话号码，使数字资产持有者更容易成为目标。 Gate News 消息，4月24日——据 Telegram 创始人 Pavel Durov 称，在 2026 年仅 3.5 个月内，法国已发生 41 起对加密货币持有者的绑架事件，他将激增归因于大规模的数据泄露。Durov 在一则 X 帖子中强调，敏感个人数据——包括税务机关掌握的信息，以及法国安全文件署发生的重大泄露中的信息——已经暴露了大约 1900 万人的姓名、地址和电话号码，使数字资产持有者更容易成为目标。

GateNews9小时前

意大利研究员因对椭圆曲线密钥发起 32,767 比特量子攻击而赢得 1 BTC 奖励

比特币新闻监管政策安全事件

Gate News 消息，4月24日——意大利研究人员 Giancarlo Lelli 在展示迄今规模最大的椭圆曲线密码学量子攻击后，获得了 1 比特币的奖励。该突破加剧了对量子威胁的担忧，可能影响由椭圆曲线密码学所保障的比特币、以太坊及其他资产 ECC，从而波及超过 2.5 万亿美元的数字资产

GateNews11小时前

0/400

暂无评论