北韩黑客假借征才名义，锁定开发人员散布恶意软件的情况，过往黑客组织Lazarus发起的Operation Dream Job攻击行动相当受到资安圈关注，如今有资安业者发现，这些黑客的手段变得更加复杂，使得求职的开发人员难以察觉有异。

资安业者SecurityScorecard指出，他们在1月9日发现Lazarus发起的攻击行动Operation 99，主要目标是想要在Web3或是加密货币领域求职的软件开发者，意图在他们的电脑植入恶意程序。

这些黑客假冒人资主管的名义，在职场社群网站LinkedIn等平台进行征才，以项目测试及代码视图为由引诱开发人员上当。一旦开发人员照做，他们就会被要求拷贝看似无害的GitLab存储库，而黑客在其中埋入能连往C2服务器的代码，从而于受害者的环境植入恶意软件。

这些黑客攻击的目的，主要是源码及智能财产、组态配置数据、API密钥、帐密数据，以及加密货币钱包相关数据。

韩黑客假借征才对开发人员下手的情况，已非首例，SecurityScorecard威胁研究资深副总裁Ryan Sherstobitoff指出，Operation 99之所以能成功引诱受害者上当，原因在于黑客不断发展手法，而且，这次黑客利用代码项目吸引开发人员，并将他们导向恶意GitLab存储库，使得这种征才的诱饵变得看起来更加难以辨别真假。

针对这波攻击行动的范围，主要目标是意大利，但SecurityScorecard也在阿根廷、巴西、埃及、法国、德国等地发现受害者。

一旦开发人员上当，黑客就会运用模块化恶意程序进行多阶段攻击。攻击者先利用恶意程序下载工具Main99连往C2，取得其他恶意酬载，然后通过Payload99/73、Brow99/73、MClip等组件，监控键盘输入的内容、剪贴板数据，窃取浏览器存放的帐密，然后将数据外泄。

Ryan Sherstobitoff指出，黑客使用的恶意软件框架相当危险，能针对Windows、macOS、Linux等多种平台发动攻击，并将攻击流程嵌入开发人员的工作流程，黑客得以尽可能地隐匿自身活动的踪迹。

研究人员进一步调查此事，发现这波攻击行动可追溯到去年10月，但到了今年手法加剧。首先，黑客改用不会自我删除的恶意程序，而能长期监控受害者；再者，他们运用更为复杂的混淆手法，恶意酬载经过65层处理，使得资安鉴识分析也难以察觉有异。