随着加密货币行业的飞速发展,网络安全威胁也日益严峻。近日,币安创始人赵长鹏(Changpeng Zhao,简称CZ)发出警告,揭示一场由朝鲜高级黑客团体发动的复杂攻防行动,这些黑客伪装成求职者,利用虚假招聘和面试环节成功渗透全球加密货币公司,盗取数十亿美元资产。为了全面理解这股威胁的严重性,有必要从多个维度深入解析其攻击手法、背后的组织结构及全球反制措施,助力行业企业强化防御体系。朝鲜黑客以其高超的隐蔽性和持久攻击著称,尤其擅长社会工程和技术结合的手段。近年来,他们不仅通过网络钓鱼和漏洞利用来攻击加密货币平台,更通过假冒招聘岗位的方式进行"肉身"渗透。黑客们冒充开发者、安全专家、金融岗位候选人,投递精心伪造的简历,并顺利通过多轮面试,甚至贿赂外包供应商获取敏感内部数据。
此类潜伏策略极大增加了攻击成功几率,令受害企业防不胜防。2024年至2025年上半年,朝鲜黑客针对加密领域已导致超过50亿美元的巨额损失,涉及47次重大入侵事件。其间,他们创办多个真实存在的美国公司,如Blocknovas LLC和Softglide LLC,作为掩护,借用虚假身份通过合法渠道展开渗透活动。调查发现,相关人员持有政府发放的身份证件,使用职业社交平台建立可信身份,进一步巩固其伪装的真实性。此外,黑客组织还积极购买盗用的美国社会安全号码、网络账户及VPN服务,确保远程操作的隐秘性,长期潜伏在关键岗位,等待时机发起致命攻击。作为最新的恶意软件攻击工具,名为PylangGhost的Python恶意程序尤为引人关注。
该木马以假招聘面试网站为载体,模拟业界大型企业如Coinbase和Robinhood的面试平台,诱使候选人点击含有木马的"视频驱动安装包",从而实现系统的持续控制。此木马不仅能窃取浏览器中的超过80种扩展插件数据,也可读取主流密码管理器(如1Password和NordPass)中的机密信息。这种针对区块链开发者的精准攻击,直接威胁到加密钱包私钥及资金安全。朝鲜黑客除了直接攻击公司外,还运用复杂的资金洗钱手段,掩盖非法所得的来源和流向。通过拆分交易、货币交换和另类数字资产(如NFT)购买等手段,将窃取的加密资产隐匿于各种渠道,最终用以资助朝鲜的军事项目。据美国司法部调查,这些运营与朝鲜国防部密切相关的黑客团体,背后有像Sim Hyon Sop与金相万这类高级官员坐镇,显示此类攻击具有国家支持的高度组织性和持续性。
技术层面上,朝鲜持续创新攻击模式,涉及供应链攻击及恶意代码植入。知名的Marstech1恶意软件通过注入JavaScript代码传播至GitHub和NPM等开源生态,波及数百个加密项目,进一步扩大了影响范围。印度区块链开发人员尤为受害,成为PylangGhost和关联威胁主要瞄准目标。安全研究机构Cisco Talos指出,朝鲜黑客团体频繁搭建虚假测试平台,诱骗目标完成技能考核,获取权限后展开针对性钓鱼和木马部署。全球针对朝鲜黑客的联防合作也日益紧密。近年来,韩国与欧盟等地区加强情报共享及技术交流,推动建立跨国防御网络,试图限制朝鲜在加密领域的扩张。
美国联邦调查局对Blocknovas LLC等虚假法人采取域名查封行动,极大打击了恶意基础设施。同时业内领导者CZ也反复强调,企业必须强化对招聘流程的审查,尤其要警惕可疑候选人下载未知文件。员工安全教育应覆盖恶意软件下载和社交工程攻击,强化多层身份验证和权限管理。总结来看,朝鲜黑客集团通过假借招聘身份潜入加密货币企业,导入后门及恶意软件,获得极大破坏力和经济收益。针对这一动态威胁,行业应从制度与技术多方面提升防护,持续关注相关情报通报,务必避免因内部员工环节成为安全破口。加密领域的安全态势复杂严峻,唯有以高度警觉与合作精神构筑坚实防线,才能抵御不断升级的国家级网络攻击威胁,保障区块链生态的健康发展与用户资产安全。
随着网络安全技术的进步及全球合作强化,未来对抗此类攻击的手段将更加多元且高效。企业不仅需要加强技术投入,更需构建安全文化,确保从招聘到运营的每一个环节均无懈可击,真正阻断假身份攻击的侵入路径。 。
