朝鲜黑客利用虚假招聘渗透云系统，窃取数十亿美元加密货币

谷歌云与网络安全公司Wiz的独立研究显示，朝鲜黑客组织正通过虚假自由IT工作邀约渗透云系统，窃取价值数百万美元的加密货币。

谷歌云发布的《2025下半年云威胁视野报告》披露，谷歌威胁情报组正在”积极追踪”朝鲜黑客单元UNC4899，该组织通过社交媒体接触企业员工后，已成功入侵两家公司系统。

在两次攻击中，UNC4899通过分派工作任务诱导员工在工作站运行恶意软件，从而在黑客指挥控制中心与目标企业云系统间建立连接通道。

这使得UNC4899能全面探查受害者云环境，获取凭证资料并最终锁定处理加密货币交易的主机。

虽然两起事件分别针对不同（未具名）企业和云服务（谷歌云与AWS），但均造成”价值数百万美元的加密货币”被盗。

谷歌威胁情报组欧洲首席威胁情报顾问杰米·科利尔向Decrypt表示，朝鲜黑客使用工作诱饵的手法现已”相当普遍”，反映出极高的操作成熟度。

“他们常伪装成招聘人员、记者、领域专家或大学教授接触目标，”他补充说，黑客通常会多次往复沟通以建立信任关系。

快速进化

科利尔指出，朝鲜黑客是最早快速采用AI等新技术的威胁主体，他们利用AI生成”更具说服力的社交邮件”并编写恶意脚本。

云安全公司Wiz同样报告了UNC4899的活动，指出该组织亦被称为TraderTraitor、JadeSleet和SlowPisces。

Wiz表示，TraderTraitor代表一类威胁活动而非特定组织，其背后是朝鲜支持的LazarusGroup、APT38、BlueNoroff和StardustChollima等黑客团体。

在分析报告中，Wiz指出相关攻击活动始于2020年，黑客最初就通过工作诱饵诱导员工下载基于Electron框架的JavaScript和Node.js恶意加密应用。

据Wiz披露，该组织2020-2022年的攻击”成功入侵多家机构”，包括LazarusGroup对AxieInfinity旗下RoninNetwork实施的6.2亿美元窃取案。

2023年TraderTraitor开始使用恶意开源代码，2024年则加倍利用虚假职位招聘，主要针对加密货币交易所。

最引人注目的是，该组织涉嫌日本DMMBitcoin3.05亿美元黑客事件，以及2024年底Bybit交易所15亿美元被盗案（该交易所今年2月才披露）。

瞄准云系统

正如谷歌强调的案例，这些攻击都不同程度针对云系统。Wiz认为此类系统是加密货币行业的重大安全短板。

“我们认为TraderTraitor专注于云相关漏洞和技术，因为数据和资金都存储在那里，”Wiz战略威胁情报总监本杰明·里德向Decrypt解释，”这对加密行业尤为明显，这些公司较新且可能以云优先方式构建基础设施。”

里德指出，针对云技术能使黑客影响更广泛目标，从而提升获利潜力。

这些组织已形成庞大产业，”2025年至今估计窃取16亿美元加密货币”，他透露TraderTraitor及相关组织拥有”可能数千人”的团队，这些人员分布在多个有时相互重叠的团体中。

“虽然难以给出具体数字，但显然朝鲜政权正在这些能力上投入大量资源。”

TRMLabs二月发布的报告显示，朝鲜已成为加密货币黑客领域的领导者，去年全球被盗资金中35%流入该国。

专家表示，所有迹象表明该国在未来一段时间仍将是加密相关黑客活动的主力，特别是考虑到其人员持续开发新技术的能力。

“朝鲜威胁主体是一支动态敏捷的力量，不断调整以适应政权的战略和财务目标，”谷歌的科利尔说。

他重申朝鲜黑客正越来越多地利用AI，这种”力量倍增器”帮助黑客扩大了攻击规模。”我们没有看到任何放缓迹象，预计这种扩张将持续。”

每日简报

每日获取头条新闻、原创专题、播客、视频等更多内容。

您的邮箱

立即订阅