CrowdStrike 公司在2025年1月7日发现该恶意活动，从该钓鱼邮件的内容来看，可能开始时间不算太早。

攻击始于发送给求职者的一份钓鱼邮件，假装来自 CrowdStrike 公司的招聘代理，感谢他们申请该公司的开发人员岗位。该邮件诱骗目标从看似是合法 CrowdStrike 门户的网站下载“员工CRM申请”，并称此举是为了“推出一款新的申请者CRM应用来拉通招聘流程”。点击该嵌入式链接的岗位候选人被引到一个站点 (“cscrm-hiring[.]com”)，其中包含适用于 Windows 或 macOS 的上述应用。

所下载的工具在提取其它payload之前会执行沙箱检查，确保它不在分析环境中运行，会检查进程号码、CPU核心数以及调试程序的情况。一旦检查结束，说明受害者具备受感染的条件，那么应用就会生成一条恶意错误信息称安装文件可能受损。该下载器会在后台检索包含用于运行XMRig的所需参数的文本文件。之后会从GitHub 仓库下载包含该挖矿机的ZIP压缩文档并在 '%TEMP%\System\.' 中解压文件。该挖矿机在后台被设置为运行，消耗最小处理能力（最多10%）来避免被检测到。攻击者会在开始目录启动目录添加一个批处理脚本，重启之后仍能保持可持久性，同时会在注册表中编写登录自动启动密钥。

求职者应当验证属于所求职公司的官方域名的邮件地址，并通过官网页面联系相关人员。应警惕紧急或异常请求、好得不真实的工作邀约、在自己电脑上下载可执行文件（通常会以招聘需求为借口）的邀请。招聘单位，极少会要求候选人下载第三方应用参加面试且从来不会要求付款。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~