Phân tích: Hacker Triều Tiên đã đánh cắp 1,6 tỷ đô la crypto trong năm nay bằng cách lừa các hệ thống chạy các chương trình độc hại

Tin tức từ Mars Finance, theo báo cáo của Decrypt, dựa trên nghiên cứu của Google Cloud và công ty an ninh mạng Wiz, các nhóm hacker Triều Tiên đang xâm nhập các hệ thống đám mây thông qua các lời mời việc làm CNTT giả mạo, dự kiến đã đánh cắp tiền điện tử trị giá 1,6 tỷ đô la vào năm 2025. Nghiên cứu cho thấy, nhóm hacker có mã danh UNC4899 (còn được gọi là TraderTraitor, Jade Sleet hoặc Slow Pisces) đã giả làm nhà tuyển dụng trên các phương tiện truyền thông xã hội, khiến nhân viên của các công ty mục tiêu chạy các chương trình độc hại, từ đó xâm nhập thành công vào hệ thống Google Cloud và AWS, đồng thời chiếm quyền điều khiển các máy chủ giao dịch tiền điện tử. Wiz cho biết, TraderTraitor đại diện cho một loại hoạt động đe dọa, không phải một nhóm cụ thể, các thực thể do Triều Tiên hỗ trợ như Lazarus Group, APT38, BlueNoroff và Stardust Chollima đều là những kẻ chủ mưu điển hình của các cuộc tấn công TraderTraitor. Mô hình tấn công này liên tục phát triển từ năm 2020: ban đầu sử dụng JavaScript để xây dựng ứng dụng mã hóa độc hại, đến năm 2023 đã đưa vào khai thác lỗ hổng mã nguồn mở, và đến năm 2024 tập trung tấn công vào cơ sở hạ tầng đám mây của các sàn giao dịch, bao gồm vụ xâm nhập gây thiệt hại 305 triệu đô la cho DMM Bitcoin của Nhật Bản. Các chuyên gia chỉ ra rằng, các hacker Triều Tiên là những người đi đầu trong việc sử dụng công nghệ AI để tạo ra các email Phishing và Script độc hại, quy mô đội ngũ tấn công của họ có thể lên tới hàng nghìn người.