朝鲜黑客每日试图混入币安求职——以下是识别方法

加密货币交易所币安首席安全官Jimmy Su向Decrypt透露，每天都有大量伪造简历涌入币安，这些简历显然出自朝鲜黑客之手。他认为，来自朝鲜的国家级黑客组织是目前加密行业企业面临的最大威胁。

Su解释道，朝鲜黑客的侵扰贯穿币安成立八年来的发展历程，但近期这些攻击者在加密货币领域的攻势明显升级。”当前加密行业面临的最大威胁来自国家行为体，尤其是朝鲜的Lazarus组织，”Su告诉Decrypt，”过去两三年他们专注于加密货币领域，且’战果’颇丰。”他补充说，”几乎所有朝鲜大型黑客行动”都涉及假冒员工协助作案。

朝鲜如何攻击加密货币交易所

朝鲜民主主义人民共和国（DPRK）是臭名昭著的Lazarus黑客组织的大本营。据FBI调查，该组织涉嫌制造了3月震惊行业的Bybit14亿美元被盗案——这是加密货币史上最大规模的黑客事件。

Su表示，币安最常发现朝鲜攻击者试图应聘入职。这家中心化交易所声称会根据特定简历模板特征每日筛除可疑简历，但不愿向Decrypt透露具体识别标准。通过初筛的应聘者还需接受视频面试验证——随着AI技术发展，这项验证正变得愈发困难。

“以往追踪显示，这些操作者的简历多使用日文或中文姓氏，”Su解释道，”但借助AI技术，他们现在能伪装成任何地区的开发者。最近我们甚至发现来自欧洲、中东的’应聘者’——他们在面试时使用变声器，视频画面也是深度伪造的。”

他补充道：”唯一可靠的识别特征是网络延迟。因为实时翻译和变声处理会导致通话存在明显延迟。”币安还掌握其他识别手段（比如要求用手遮脸通常会破坏深度伪造效果），但为避免打草惊蛇拒绝透露细节。

据悉，其他企业会要求应聘者批评朝鲜领导人金正恩（此举在朝鲜属违法行为），并取得过验证效果。

币安宣称从未雇佣过国家级黑客，但仍会对现有员工进行行为监控——这也是金融机构的常规风控措施。颇具讽刺的是，Su的研究发现朝鲜”员工”往往绩效突出，推测可能是跨时区多人协作的结果。因此币安会同步追踪员工工作时段与产出效率，永不下线的”员工”很可能是Lazarus组织成员。

朝鲜的其他攻击手段

Su指出朝鲜黑客还有两种惯用伎俩：污染公共NPM代码库和发布虚假招聘信息。Node Package Manager（NPM）代码库是开发者常用的开源工具集，攻击者会复制这些工具包并植入恶意代码——在保持原有功能的同时埋下隐患。Su强调，一旦被引用，恶意代码会随着二次开发深度嵌入系统。

为防范此类攻击，币安需对代码进行精细审查。主流交易所还会通过Telegram和Signal群组共享安全情报，及时标记问题代码库和新型攻击手法。

“朝鲜组织还会伪装成DeFi项目或投资机构，以两到三倍高薪为诱饵，安排虚假面试，”Su透露，”他们会谎称视频故障，诱导受害者点击’Zoom更新链接’从而植入恶意软件。”

币安要求员工上报所有钓鱼尝试。根据举报频率判断，Su确信朝鲜攻击者每天都在LinkedIn上接触币安员工。Chainalysis报告显示，朝鲜黑客去年通过47起加密相关事件窃取13.4亿美元。据Wiz战略威胁情报总监估算，今年仅虚假IT招聘就已盗取16亿美元加密货币。

“Lazarus组织始终是重大威胁，”Su总结道，”但过去两三年他们明显调整战略，因行业资金规模将更多资源投向加密领域。”

每日简讯

每日早间推送头条新闻、原创专题、播客及视频等内容。
您的邮箱
立即订阅！