近年来,随着加密货币和区块链技术的快速发展,相关就业市场迎来了爆发式增长,吸引了全球大量技术人才的关注。然而,隐藏在这繁荣表象背后的,是由朝鲜支持的黑客组织对这一新兴领域求职者的针对性网络攻击行为。特别是印度地区的加密货币求职者,成为了“著名千里马”(Famous Chollima)等朝鲜黑客团队重点瞄准的对象。专家警告,这种攻击不仅威胁求职者的个人隐私和职业发展,也对整个加密行业的安全造成了严峻挑战。 这一网络攻击活动始于2024年中期,由安全研究机构Cisco Talos首次披露。研究人员指出,攻击者通过创建虚假的招聘公司伪装,并诱骗求职者访问精心设计的在线技能测试页面,从而感染恶意软件。
受害者主要是印度的加密货币及区块链领域的程序员、营销人员、设计师等技术人才。这些伪装的公司名称多与知名加密平台重合,如Coinbase、Robinhood、Uniswap、Parallel Studios等,以提高欺骗成功率。 在攻势中,求职者会收到一份邀请代码,要求他们登录一个“技能测试”网站,在其中填写个人信息并回答技术问题。接下来,求职者被引导录制面试视频。这时,网站会请求其摄像头权限,并提示需要安装某种辅助软件。攻击者巧妙地利用了所谓“ClickFix”策略,制造虚假错误信息,指示用户复制粘贴特定命令,以“解决”问题,实则是在潜入恶意代码。
这种恶意软件被Cisco Talos命名为“PylangGhost”,专门针对Windows和MacOS系统,能够窃取浏览器存储的凭证、会话cookie和浏览器扩展数据。 这种针对人才招募流程的攻击手法彰显了朝鲜背后复杂的国家级网络战略。Famous Chollima背后是朝鲜官方军事力量支持的黑客团队,他们不仅试图窃取求职者的个人资料,还希望通过分析成功入职者的背景信息,帮助朝鲜籍人员成功进入欧美科技及加密机构,从而为朝鲜政府创造资金来源。据美国执法部门估计,朝鲜军方通过网络盗窃和利用区块链技术,年收入已达数十亿美元。 除了直接感染求职者设备外,朝鲜黑客还采取“潜伏”策略。一旦攻击者成功植入恶意软件,就能在目标人员正式受聘后持续监控,窃取企业敏感数据。
2024年12月,加密平台Radiant Capital就遭遇了损失高达5000万美元的网络劫案,攻击起点就是通过一封附带恶意PDF文件的钓鱼邮件传递恶意软件。该恶意软件“INLETDRIFT”是MacOS后门程序,能够让黑客远程控制受感染设备。 这场针对加密行业的高级持续威胁攻击(APT)表明,Mac用户同样是北韩网络间谍活动的头号目标。自2023年以来,针对MacBook用户的攻击事件频发,尤其是加密领域工程师,因为他们通常掌握了核心技术和敏感资产。网络安全专家建议用户务必保持软件及时更新,避免在非官方渠道输入代码或授予摄像头权限。 此外,求职者自身也需提高警惕,通过核实招聘信息的真实性、确认招聘公司官方渠道、避免在未经核实的网站输入个人详细信息等方式来防范风险。
公司层面则应增强招聘流程中的安全验证,防止恶意链接流入,甚至考虑采用多因素认证和背景调查机制。 纵观整个事件,朝鲜对印度加密人才的攻击活动体现了当今网络安全的复杂形势和跨国网络犯罪的新常态。国家级黑客组织不仅利用技术手段,更通过社会工程学巧妙切入求职市场,将无辜求职者卷入全球网络战局。加密货币和区块链领域作为创新前沿,同样面临着被恶意渗透的风险,企业和个人需携手采用综合防御策略,以应对这场看不见的战争。 总的来说,此类持续的网络攻击活动提醒我们,数字经济与网络安全息息相关,未来行业的健康发展必须依赖透明安全的环境。保护技术人才免受恶意攻击、维护企业核心数据安全,是抵御全球网络威胁的关键。
同时,不断提升公众网络安全意识,将为数字产业持续注入安全基因,实现技术与安全的协调发展。
