朝鲜黑客通过LinkedIn寻找目标，企图传播恶意软件RustDoor

朝鲜黑客锁定加密货币产业的求职者从事攻击行动的情况，近期有不少事故传出，引起美国政府多次发出警告，呼吁人们线上求职要提高警觉。本月初美国联邦调查局（FBI）再度针对此种攻击发布安全公告，有安全企业公布进一步细节。

安全企业Jamf指出，这些黑客会查看LinkedIn等社交媒体网站的活动状态，来寻找下手的目标，主要针对的是加密货币产业的从业人员，黑客通常会佯称是专精去中心化金融科技公司的人力资源团队，来引诱求职者上当。

研究人员指出，FBI在公告中提及数种向受害者传播恶意程序的手法，其中又以假借测试求职者能力为由，要求进行就业前测验的情况相当值得注意，其中涉及不标准或是未知的NPM组件、PyPI组件、GitHub存储库。

他们看到黑客向求职的开发人员发送用来进行测验的压缩文件，此为Visual Studio项目的程序代码挑战（coding challenge），对方要求开发人员使用C#，将Slack消息转换成CSV格式文件。

然而一旦求职的开发人员照做，他们的计算机就有可能借由埋藏在csproj文件的恶意程序代码，使用curl下载第二阶段有效酬载，研究人员分析后得知，此恶意软件是macOS后门RustDoor（也称作Thiefbucket）。