近年来,加密货币行业迎来了爆炸式的发展,吸引了全球无数专业人才,但随之而来的安全威胁也不断升级。最新的情报显示,朝鲜背景的黑客组织正针对加密货币领域的专业人才发动新一轮攻击,利用伪造招聘平台与虚假面试手段植入信息窃取恶意软件,集中窃取钱包凭证和密码管理器信息。这一动态不仅凸显了网络攻击的复杂化,也反映出国家级黑客正在针对加密行业重要岗位人员进行精准打击。 据Cisco Talos的最新报告显示,一个名为“Famous Chollima”(也被称为“Wagemole”)的朝鲜关联黑客团队,利用一个被称为“PylangGhost”的新型远程访问木马(RAT),通过欺骗手段锁定和感染区块链和加密货币领域的工作者。该恶意软件基于Python语言开发,具备远程控制受感染设备的功能,能够窃取包括浏览器扩展中大量敏感数据,尤其是密码管理器和常用数字钱包的信息。 恶意攻击的实施路径颇具迷惑性。
攻击者搭建了多个冒充知名公司的虚假招聘网站,如Coinbase、Robinhood和Uniswap等知名区块链金融企业,并通过伪装成招聘人员的邮箱发起联络,邀请求职者参与技能测试。测试过程中,受害者被引导执行恶意命令,表面上是为了更新视频驱动程序,实际为将恶意软件植入其设备。同时,伪造的面试过程要求开启摄像头和麦克风,以增强诈骗的可信度。 一旦恶意软件运行,感染设备便受到远程控制,攻击者能够实时截屏、管理文件、盗取系统与浏览器数据,并持续维持对设备的访问权限。更具破坏性的是,“PylangGhost”能够从超过80种浏览器扩展中提取信息,包括业内大量流行的密码管理工具和数字钱包插件,如MetaMask、1Password、NordPass、Phantom、Bitski、Initia、TronLink及MultiverseX等,这些工具内储存的秘钥和密码一旦泄露,将意味着巨大的财产损失风险。 该攻击显著针对印度等加密人才聚集的区域,反映出朝鲜黑客组织精准打击区块链技术专家的策略。
据报告分析,攻击的设计极其隐蔽,利用求职者对未来工作的期待作为突破口,通过社交工程将恶意软件伪装成常见的技术支持操作,令受害者毫无防备。 此类攻击并非首次出现。早在今年4月,同样有朝鲜关联黑客通过伪造招聘测验传播恶意软件,针对Bybit交易平台的资产进行攻击,参与者被诱导执行感染程序,导致超过十亿美元的加密资产失窃。由此表明,伪造招聘和面试平台已经成为朝鲜黑客发动针对区块链及加密行业攻击的惯用伎俩。 此次“PylangGhost”木马的新颖之处在于其多功能性和针对性。除了信息窃取,该恶意软件还能执行多重指令,使攻击者能够灵活调配攻击手段,应对不同目标的防御措施。
Cisco Talos提出,虽然目前该恶意软件的代码注释体现出人为撰写的特征,尚未发现利用人工智能大语言模型辅助编写的痕迹,但其复杂度和隐蔽性仍然让防御方难以察觉和阻止。 针对这一威胁,业内专家建议,区块链和加密货币专业人才保持高度警觉,不轻信招聘信息,仔细验证招聘渠道的真实性。受害者应避免运行未经验证的命令和程序,在参与线上面试时谨慎开启摄像头和权限设置。同时,加强多重身份验证及密码管理措施,使用硬件钱包等离线存储方案,以降低资产被盗风险。 对企业和项目方而言,应对招聘流程进行全面安全测试,优化申请者身份核验机制,并部署先进的入侵检测系统,及时发现异常登录和行为。教育员工识别社交工程攻击,防止内部人员受骗,也是保障网络安全的关键所在。
从更宏观的角度看,朝鲜黑客借助国际局势微妙变化,将加密货币作为规避传统制裁和筹集资金的工具,其攻击手段不断迭代升级,向整个区块链行业投下了长久的安全阴影。全球范围内,打造坚实的安全防护体系,是当前数字资产领域不可忽视的重要课题。 随着加密货币市场的不断扩大和技术的日趋成熟,安全威胁必将持续演变。此次“PylangGhost”事件为行业敲响警钟——专业人才不仅是区块链创新的中坚力量,也可能成为黑客重点盯防的目标,保护个人和企业的数字资产安全需要全方位的防御措施和持续的安全意识提升。 对普通投资者和技术人员来说,提高对网络钓鱼、伪造招聘和社交工程的防范意识,及时更新系统和安全软件,是确保数字资产安全的基础。此外,行业监管机构和安全社区也应加强合作,快速分享威胁情报,构筑免疫网络攻击的防线。
总而言之,北朝鲜黑客利用创新技术和欺骗手段打击加密货币行业人员,反映出网络威胁的日益严峻。面对未来,只有不断强化技术防护、优化安全培训以及完善风控体系,才能在数字资产的竞技场中稳步前行,确保区块链技术和加密货币的健康发展。
