朝鮮駭客集團正在利用自由職業IT工作的誘餌,獲取雲系統訪問權並竊取價值數百萬美元的加密貨幣,這是根據谷歌雲和安全公司Wiz的獨立研究得出的結論。
谷歌雲的2025年下半年雲威脅視野報告顯示,谷歌威脅情報小組正在"積極追蹤"UNC4899,這是一個朝鮮駭客小組,在透過社交媒體聯絡員工後成功入侵了兩家公司。
在這兩起案例中,UNC4899給員工分配了任務,導致員工在工作站上執行惡意軟體,使駭客集團能夠在其指揮控制中心和目標公司的基於雲的系統之間建立連線。
因此,UNC4899能夠探索受害者的雲環境,獲取憑證材料,並最終識別負責處理加密交易的主機。
儘管每起獨立事件針對不同的(未具名的)公司和不同的雲服務(谷歌雲和AWS),但都導致了價值"數百萬的加密貨幣"被盜。
谷歌威脅情報小組負責歐洲地區的首席威脅情報顧問傑米·科利爾告訴Decrypt,朝鮮駭客使用工作誘餌現在已經"相當普遍和廣泛",反映出相當高的複雜程度。
"他們經常偽裝成招聘人員、記者、主題專家或大學教授來接觸目標,"他補充說,他們經常來回多次通訊,以與目標建立融洽關係。
科利爾解釋說,朝鮮威脅行為者是最早快速採用人工智慧等新技術的群體之一,他們用這些技術製作"更具說服力的建立融洽關係的電子郵件"並編寫惡意指令碼。
雲安全公司Wiz也報告了UNC4899的行動,並指出該集團還被稱為TraderTraitor、Jade Sleet和Slow Pisces。
Wiz表示,TraderTraitor代表某種威脅活動,而非特定集團,背景是朝鮮支援的實體,包括Lazarus集團、APT38、BlueNoroff和星塵朝鮮(Stardust Chollima)都參與了典型的TraderTraitor攻擊。
在對UNC4899/TraderTraitor的分析中,Wiz指出這些活動始於2020年,從一開始,負責的駭客集團就使用工作誘餌引誘員工下載使用Electron框架在JavaScript和Node.js上構建的惡意加密應用。
根據Wiz,該集團從2020年到2022年的活動"成功入侵了多個組織",包括Lazarus集團入侵Axie Infinity的Ronin網路的6.2億美元攻擊。
TraderTraitor威脅活動在2023年演變為使用惡意開原始碼,到2024年,它加倍關注虛假工作機會,主要針對交易所。
最值得注意的是,TraderTraitor集團對日本DMM Bitcoin的3.05億美元駭客攻擊負責,以及2024年底價值15億美元的Bybit駭客攻擊,該交易所在今年2月披露了這一事件。
與谷歌強調的攻擊類似,這些駭客攻擊在不同程度上針對雲系統,根據Wiz的說法,這些系統對加密貨幣構成重大漏洞。
Wiz的戰略威脅情報總監本傑明·裡德告訴Decrypt:"我們認為TraderTraitor專注於雲相關的攻擊和技術,因為那裡有資料,也就是金錢。對於加密行業尤其如此,這些公司較新,可能以雲優先的方式構建基礎設施。"
裡德解釋說,針對雲技術使駭客集團能夠影響廣泛的目標,增加賺錢的潛力。
這些集團正在做大生意,"2025年迄今估計竊取了16億美元的加密貨幣",他補充說,TraderTraitor和相關集團擁有"可能數千人"的勞動力,他們在眾多有時重疊的集團中工作。
"雖然很難給出具體數字,但很明顯朝鮮政權正在大量投資這些能力。"
最終,這種投資使朝鮮成為加密駭客攻擊的領導者,2月份的TRM實驗室報告得出結論,去年該國佔所有被盜資金的35%。
專家們表示,所有可用跡象表明,該國可能在可預見的未來繼續成為加密相關駭客攻擊的常客,尤其是考慮到其特工開發新技術的能力。
谷歌的科利爾說:"朝鮮威脅行為者是一支動態和敏捷的力量,不斷適應以滿足政權的戰略和財務目標。"
科利爾重申,朝鮮駭客越來越多地使用人工智慧,這種使用實現了"力量倍增",進而使駭客能夠擴大攻擊規模。
"我們沒有看到他們減緩的跡象,並預計這種擴張將繼續下去,"他說。
