新一轮网络攻击显示,朝鲜正利用加密货币行业的招聘渠道,通过伪造领英职位邀约、深度伪造的Zoom视频会议以及暗藏后门的面试文件,窃取Web3开发者的数字钱包与代码仓库。
随着资深开发者日益稀缺,开源协议愈发依赖个体贡献者,这场博弈的赌注已达历史峰值。
朝鲜黑客的开发者渗透计划
6月18日,网络安全公司Huntress披露臭名昭著的Lazarus集团下属组织BlueNoroff针对某大型Web3基金会开发者的攻击行动。骗局始于领英上精心设计的招聘邀约,随后安排与”高管”的Zoom面试。实际上视频画面系深度伪造,而要求候选人运行的”技术评估”文件`zoom_sdk_support.scpt`,会部署名为BeaverTail的跨平台恶意软件,窃取助记词、加密钱包及GitHub凭证。
这种策略标志着攻击手段的显著升级。Silent Push研究人员在四月报告中指出:”该组织通过BlockNovas、SoftGlide和Angeloper三家加密咨询空壳公司,以’面试诱饵’传播恶意软件。”这些公司均持有美国企业注册信息,其领英招聘帖甚至能通过人力资源常规审查。
FBI已于四月查封BlockNovas域名。此前多名开发者参与虚假Zoom面试时,被诱导安装定制应用或运行脚本。多数人照做了。
这绝非简单的零散诈骗,而是国家资助的精密行动。自2017年以来,朝鲜黑客组织已窃取超15亿美元加密货币,包括6.2亿美元的Ronin/Axie Infinity攻击事件。美国财政部指出,赃款通常通过Tornado Cash和Sinbad等混币器清洗,最终为朝鲜武器计划提供资金。
美国司法部国家安全司Sue J. Bai表示:”朝鲜长期利用全球IT外包与加密生态规避制裁,资助其武器计划。”6月16日,该部门宣布查获与虚假IT招聘计划相关的774万美元加密货币。
加密开发者的高危处境
攻击目标经过精心筛选。加密协议的开源特性意味着,某个使用化名、分布全球的工程师可能掌握着从智能合约到跨链桥等核心基础设施的提交权限。
Electric Capital最新开发者报告显示,活跃加密开发者数量同比下降7%至39,148人。行业分析师指出,资深维护者供给持续紧缩,使得每个被攻陷的开发者的危害性呈指数级放大。
这种失衡导致招聘渠道本身成为网络安全战场。当空壳公司招聘专员通过HR审查后,熊市中渴望稳定的工程师可能难以及时识别危险信号。多起案例中,攻击者甚至使用Calendly日程链接和Google Meet邀请函,将受害者暗中导向攻击者控制的仿冒Zoom域名。
恶意软件技术栈呈现模块化特征。Huntress与Unit 42已确认BeaverTail、InvisibleFerret和OtterCookie等变种,均采用Qt框架实现跨平台兼容。这些工具会窃取MetaMask、Phantom等浏览器插件数据,盗取`wallet.dat`文件,并扫描明文文档中的”助记词”等关键词。
尽管技术手段复杂,执法压力正在增强。FBI的域名查封、司法部的资产没收及财政部对混币器的制裁,正抬升朝鲜黑客的作案成本。但该政权展现出极强的适应能力——每个新设立的空壳公司、招聘角色或恶意载荷,其伪装水平都在持续进化。生成式AI工具甚至让视频会议中的”高管”言行举止真假难辨。DeFi的免信任系统,最终仍依赖着数量惊人稀少且脆弱的人类维护者群体。
朝鲜加密攻击的全景图
《CryptoSlate》近期报道揭示了朝鲜加密攻击的更大图景:2024年朝鲜关联组织从47次攻击中窃取13.4亿美元,占当年全球加密失窃总量的61%。其中3.05亿美元的日本DMM Bitcoin漏洞始于LinkedIn招聘者向Ginco钱包工程师递送恶意”编码测试”。
今年2月,FBI将Bybit交易所创纪录的15亿美元盗案归咎于Lazarus组织,指出攻击者数日内已通过THORChain清洗10万枚ETH。
微软研究人员称之为”三重威胁”计划:朝鲜特工正冒充风投人士、招聘专员及远程IT工作者,利用AI生成资料与深度伪造面试,既赚取薪资又窃取源代码,同时对企业进行勒索。
在这个工作可远程、信任数字化、代码即金钱的时代,国家级入侵的起点可能不再是漏洞利用,而是一次看似寻常的握手。
声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险
自担!转载请注明出处:https://www.chaintt.cn/5585.html
声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险 自担!转载请注明出处:https://www.chaintt.cn/5585.html
