朝鮮黑客組織"HexagonalRodent"借助 AI 工業化攻擊 Web3 開發者，三個月竊取逾 1200 萬美元加密資產

深潮 TechFlow 消息，4 月 24 日，据网络安全公司 Expel 研究报告披露，其正追踪一个被高度评估为朝鲜（DPRK）国家支持的 APT 组织"HexagonalRodent"，该组织以 Web3 开发者为主要目标，专门窃取加密货币与 NFT 等高价值数字资产。2026 年前三个月，该组织已从 2726 台受感染开发者设备中窃取 26584 个加密钱包的访问权限，涉及资产总值高达 1200 万美元。

该组织主要通过伪造招聘信息实施攻击——在 LinkedIn 及 Web3 招聘平台发布高薪职位，诱导求职者完成内嵌恶意代码的"技能测试"，利用 VSCode 的 tasks.json 功能在受害者打开项目文件夹时自动执行恶意程序。所使用的恶意软件包括 BeaverTail、OtterCookie 和 InvisibleFerret，具备密码窃取、远程控制及反向 Shell 等功能。

值得关注的是，该组织大量借助 ChatGPT、Cursor 等生成式 AI 工具开发恶意软件、构建虚假公司网站及 AI 生成的高管团队，甚至在墨西哥注册了空壳企业以提升攻击可信度。此外，该组织近期首次实施供应链攻击，成功入侵 VSCode 扩展"fast-draft"进行恶意软件分发。