loading...
根据谷歌云和安全公司Wiz的独立研究,朝鲜黑客组织正在利用自由职业IT工作的诱惑,引诱企业员工下载恶意软件,从而入侵加密货币公司的云系统,造成数十亿美元的损失。
谷歌云2025年下半年云威胁展望报告指出,其威胁情报团队正积极追踪朝鲜黑客组织UNC4899。该组织通过社交媒体伪装成招聘人员、记者或大学教授,与目标员工建立信任关系后,诱导其运行恶意脚本,进而建立对目标公司云环境的远程控制。
在两起已确认的案件中,尽管受害公司及云服务提供商(分别为Google Cloud和AWS)不同,但均导致“价值数百万美元”的加密货币被盗。黑客随后深入探索云环境,获取凭证并定位处理交易的核心主机。
谷歌威胁情报集团欧洲首席顾问Jamie Collier表示,朝鲜黑客是最早大规模应用人工智能技术的势力之一。他们利用AI生成更具说服力的沟通内容,并编写自动化恶意脚本,大幅提升了攻击效率与成功率。
Wiz公司进一步披露,该组织亦被称为TraderTraitor、Jade Sleet和Slow Pisces。这些名称代表一类以云基础设施为目标的高级持续性威胁活动,背后涉及包括Lazarus Group、APT38在内的多个朝鲜支持实体。
Wiz分析显示,此类攻击自2020年起便已展开,最初使用JavaScript和Node.js结合Electron框架开发恶意程序。2020至2022年间,相关团伙成功入侵多机构,其中包括影响Axie Infinity Ronin网络的6.2亿美元攻击事件。
2023年后,攻击手段演变为利用恶意开源代码;2024年,虚假招聘活动数量翻倍,重点转向加密交易所。其中,日本DMM比特币平台遭受3.05亿美元攻击,而Bybit在2024年底遭遇15亿美元资金外泄,均为近期重大案例。
Wiz战略威胁情报总监Benjamin Read指出,加密行业普遍采用云优先架构,使云系统成为高价值目标。他强调:“对于加密行业而言,云不仅是数据载体,更是资金流动的核心节点。”
由于云环境具备集中化、高可用性和跨区域访问特性,一旦被攻破,可快速横向移动并覆盖广泛资产。据估算,截至2025年,包括TraderTraitor在内的相关组织已累计窃取约16亿美元加密资产。
专家普遍认为,朝鲜政府对这一黑客产业链投入巨大资源。TRM Labs 2025年2月报告显示,朝鲜在2024年占据全球被盗加密资金总量的35%,位居首位。
Collier强调:“朝鲜威胁行为者是一支充满活力且敏捷的力量,始终根据政权的战略与财务需求调整战术。”他补充道,随着人工智能的应用深化,攻击规模有望实现“力量倍增”,预计未来几年内此类活动将持续甚至加剧。
目前,国际社会尚未形成统一应对机制,但多方呼吁加强跨国协作、强化云安全防护,并提升对社交工程攻击的识别能力,以遏制这一日益严峻的安全挑战。
736
700
675
625
197
151
281
465
695
185
