朝鲜黑客集团正在利用自由职业IT工作的诱饵,获取云系统访问权并窃取价值数百万美元的加密货币,这是根据谷歌云和安全公司Wiz的独立研究得出的结论。
谷歌云的2025年下半年云威胁视野报告显示,谷歌威胁情报小组正在"积极追踪"UNC4899,这是一个朝鲜黑客小组,在通过社交媒体联系员工后成功入侵了两家公司。
在这两起案例中,UNC4899给员工分配了任务,导致员工在工作站上运行恶意软件,使黑客集团能够在其指挥控制中心和目标公司的基于云的系统之间建立连接。
因此,UNC4899能够探索受害者的云环境,获取凭证材料,并最终识别负责处理加密交易的主机。
尽管每起独立事件针对不同的(未具名的)公司和不同的云服务(谷歌云和AWS),但都导致了价值"数百万的加密货币"被盗。
谷歌威胁情报小组负责欧洲地区的首席威胁情报顾问杰米·科利尔告诉Decrypt,朝鲜黑客使用工作诱饵现在已经"相当普遍和广泛",反映出相当高的复杂程度。
"他们经常伪装成招聘人员、记者、主题专家或大学教授来接触目标,"他补充说,他们经常来回多次通信,以与目标建立融洽关系。
科利尔解释说,朝鲜威胁行为者是最早快速采用人工智能等新技术的群体之一,他们用这些技术制作"更具说服力的建立融洽关系的电子邮件"并编写恶意脚本。
云安全公司Wiz也报告了UNC4899的行动,并指出该集团还被称为TraderTraitor、Jade Sleet和Slow Pisces。
Wiz表示,TraderTraitor代表某种威胁活动,而非特定集团,背景是朝鲜支持的实体,包括Lazarus集团、APT38、BlueNoroff和星尘朝鲜(Stardust Chollima)都参与了典型的TraderTraitor攻击。
在对UNC4899/TraderTraitor的分析中,Wiz指出这些活动始于2020年,从一开始,负责的黑客集团就使用工作诱饵引诱员工下载使用Electron框架在JavaScript和Node.js上构建的恶意加密应用。
根据Wiz,该集团从2020年到2022年的活动"成功入侵了多个组织",包括Lazarus集团入侵Axie Infinity的Ronin网络的6.2亿美元攻击。
TraderTraitor威胁活动在2023年演变为使用恶意开源代码,到2024年,它加倍关注虚假工作机会,主要针对交易所。
最值得注意的是,TraderTraitor集团对日本DMM Bitcoin的3.05亿美元黑客攻击负责,以及2024年底价值15亿美元的Bybit黑客攻击,该交易所在今年2月披露了这一事件。
与谷歌强调的攻击类似,这些黑客攻击在不同程度上针对云系统,根据Wiz的说法,这些系统对加密货币构成重大漏洞。
Wiz的战略威胁情报总监本杰明·里德告诉Decrypt:"我们认为TraderTraitor专注于云相关的攻击和技术,因为那里有数据,也就是金钱。对于加密行业尤其如此,这些公司较新,可能以云优先的方式构建基础设施。"
里德解释说,针对云技术使黑客集团能够影响广泛的目标,增加赚钱的潜力。
这些集团正在做大生意,"2025年迄今估计窃取了16亿美元的加密货币",他补充说,TraderTraitor和相关集团拥有"可能数千人"的劳动力,他们在众多有时重叠的集团中工作。
"虽然很难给出具体数字,但很明显朝鲜政权正在大量投资这些能力。"
最终,这种投资使朝鲜成为加密黑客攻击的领导者,2月份的TRM实验室报告得出结论,去年该国占所有被盗资金的35%。
专家们表示,所有可用迹象表明,该国可能在可预见的未来继续成为加密相关黑客攻击的常客,尤其是考虑到其特工开发新技术的能力。
谷歌的科利尔说:"朝鲜威胁行为者是一支动态和敏捷的力量,不断适应以满足政权的战略和财务目标。"
科利尔重申,朝鲜黑客越来越多地使用人工智能,这种使用实现了"力量倍增",进而使黑客能够扩大攻击规模。
"我们没有看到他们减缓的迹象,并预计这种扩张将继续下去,"他说。
