文章总结： LazarusAPT组织发起假字体供应链攻击，通过虚假招聘诱导开发者下载恶意代码库。攻击利用VSCode任务自动执行伪装字体的JS文件，部署InvisibleFerret后门窃取资产。建议安全团队审查GitHub权限及VSCode配置以防范此类隐蔽威胁。 综合评分： 78 文章分类： 供应链安全,威胁情报,恶意软件,社会工程学

Lazarus 黑客组织在新一轮采访活动利用虚假字体传播恶意软件

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年1月27日 09:00 湖北

导读

曹县Lazarus APT组织发起一场名为“假字体”的复杂供应链攻击，目标是软件开发商。

该感受组织利用虚假的求职面试和恶意 GitHub 代码库诱骗软件开发工程师下载包含隐藏恶意软件的代码。

这项始于 100 多天前的行动最近有所加强，行动中已确定了 19 个存储库。

该恶意软件最终会部署 InvisibleFerret Python 后门，该后门旨在窃取加密货币钱包、浏览器凭据，并建立对受感染机器的长期访问权限。

攻击始于领英（LinkedIn），冒充加密货币和金融科技公司的招聘人员会联系开发者。他们伪装成招聘经理，对目标用户的GitHub个人资料印象深刻，并要求其完成一项简单的编程测试。

开发者会收到指向看似合法的代码库的链接，其中包含标准的 Web 项目结构，包括 React 前端、Node.js 后端、完善的文档和 CI/CD 配置。

这种逼真的外观使得恶意代码库乍一看很难与真正的项目区分开来。

OpenSourceMalware 的分析师们识别并记录了此次攻击活动的运作方式。该攻击利用了 Microsoft Visual Studio Code 的任务自动化功能，该功能通常被开发人员用于运行测试和构建项目。

每个恶意存储库中都隐藏着一个 文件，该.vscode/tasks.json 文件配置为在 VS Code 中打开该文件夹时自动执行。

感染机制依赖于将JavaScript恶意软件伪装成带有 .woff2 扩展名的 Web 字体文件。当开发者打开存储库时，VS Code 会自动执行恶意任务，该任务通过 Node.js 运行伪造的字体文件。这将触发一个多阶段加载器，该加载器会在对用户基本不可见的情况下执行恶意软件。

任务配置中的显示设置会隐藏所有输出窗口，使得这种攻击难以检测。这场运动的危险之处在于它利用了开发者对开源代码库和开发工具的合理信任。

存储库结构看起来完全正常，字体文件完美符合使用 Font Awesome 图标的 Web 应用程序的预期项目布局。开发人员为了工作评估而克隆这些代码库时，没有任何视觉迹象表明他们正在安装恶意软件。

该攻击活动表明攻击者如何不断改进其技术以绕过安全措施。Lazarus Group 通过结合社会工程、供应链漏洞和工具的特定功能，成功地针对能够访问敏感系统和加密货币资产的高价值受众。

建议安全团队立即审查其组织内的 GitHub 代码库访问权限和 VS Code 配置，以识别此次攻击可能造成的安全风险。

技术报告：

《新一轮“病毒式采访”活动：“假字体”攻击使用恶意VSCode字体文件》

https://opensourcemalware.com/blog/contagious-code-fake-font

新闻链接：

New DPRK Interview Campaign Leverages Fake Fonts to Deploy Malware

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《Lazarus 黑客组织在新一轮采访活动利用虚假字体传播恶意软件》