朝鮮黑客利用虛假工作機會入侵雲系統，竊取數十億美元加密貨幣

根據谷歌云和安全公司 Wiz 的獨立研究，朝鮮黑客組織正在利用自由職業 IT 工作的誘惑來獲取雲系統的訪問權限並竊取價值數百萬美元的加密貨幣。

谷歌云的2025 年下半年雲威脅展望報告透露，谷歌威脅情報小組正在“積極追踪”朝鮮黑客組織 UNC4899，該組織通過社交媒體聯繫員工後成功入侵了兩家公司。

在這兩起案件中，UNC4899 都向員工佈置了任務，導致員工在工作站上運行惡意軟件，從而使黑客組織能夠在其指揮和控制中心與目標公司的雲系統之間建立連接。

因此，UNC4899 能夠探索受害者的雲環境，獲取憑證材料並最終識別負責處理加密交易的主機。

雖然每起事件都針對不同的（未具名）公司和不同的雲服務（Google Cloud 和 AWS），但都導致“價值數百萬的加密貨幣”被盜。

谷歌威脅情報集團歐洲首席威脅情報顧問 Jamie Collier 表示，朝鮮黑客利用工作誘惑進行攻擊現在“相當普遍”，反映出相當程度的複雜程度。 解密.

“他們在聯繫目標人物時經常假扮為招聘人員、記者、領域專家或大學教授，”他說道，並補充說，他們經常來回溝通幾次以與目標人物建立融洽的關係。

迅速行動

科利爾解釋說，朝鮮威脅行為者是首批迅速採用人工智能等新技術的人之一，他們利用這些技術製作“更有說服力的建立融洽關係的電子郵件”並編寫惡意腳本。

雲安全公司 Wiz 也報導了 UNC4899 的攻擊行為，並指出該組織還被稱為 TraderTraitor、Jade Sleet 和 Slow PIsces。

Wiz 表示，TraderTraitor 代表的是某種類型的威脅活動，而非某個特定的團體，朝鮮支持的實體 Lazarus Group、APT38、BlueNoroff 和 Stardust Chollima 都是典型的 TraderTraitor 攻擊的幕後黑手。

在 其分析UNC4899/TraderTraitor 的 Wiz 指出，這些活動早在 2020 年就開始了，從一開始，負責任的黑客組織就利用工作誘惑來誘騙員工下載基於 JavaScript 和Node.js使用 ElecTRON 框架。

Wiz 表示，該組織在 2020 年至 2022 年期間的攻擊活動“成功入侵了多個組織”，其中包括 Lazarus Group 的6.2億美元違反 Axie Infinity 的 Ronin 網絡。

TraderTraitor 威脅活動隨後在 2023 年進一步發展，開始使用惡意開源代碼；而在 2024 年，其虛假招聘活動更是增加了一倍，主要針對的是交易所。

最值得注意的是，TraderTraitor 組織對3.05億美元黑客攻擊日本 DMM 比特幣的攻擊，以及 2024 年底價值 15 億美元的 Bybit 黑客攻擊，交換今年二月披露。

瞄準雲計算

與穀歌強調的漏洞一樣，這些黑客攻擊在不同程度上針對了雲系統，並且根據 Wiz 的說法，此類系統對於加密技術來說是一個重大漏洞。

Wiz 戰略威脅情報總監 Benjamin Read 表示：“我們認為 TraderTraitor 專注於與雲相關的漏洞和技術，因為那裡有數據，因此也有錢。”解密“對於加密行業來說尤其如此，因為該行業的公司較新，並且可能以雲優先的方式構建其基礎設施。”

里德解釋說，針對雲技術使黑客組織能夠影響廣泛的目標，從而增加賺取更多錢財的可能性。

他說，這些團伙生意很大，“到 2025 年為止，估計竊取的加密貨幣價值已達 16 億美元”，並補充說，TraderTraitor 和相關團伙的員工“可能有數千人”，他們在眾多團伙中工作，有時團伙之間還會有重疊。

“雖然很難給出一個具體的數字，但很明顯朝鮮政權正在為這些能力投入大量資源。”

最終，這種投資使朝鮮成為加密黑客領域的領導者，2 月份 TRM LABs報告調查結果顯示，該國占去年所有被盜資金的 35%。

專家表示，所有跡像都表明，該國在未來一段時間內可能仍會繼續參與加密相關的黑客攻擊，尤其是考慮到該國特工開發新技術的能力。

谷歌的科利爾表示：“朝鮮威脅行為者是一支充滿活力且敏捷的力量，他們不斷調整以滿足該政權的戰略和財務目標。”

科利爾重申朝鮮黑客越來越多地利用人工智能，並解釋說這種利用可以實現“力量倍增”，從而使黑客能夠擴大他們的攻擊規模。

他說：“我們沒有看到任何放緩的跡象，預計這種擴張將會持續下去。”