近年来,加密货币行业的快速发展吸引了全球大量专业人才,同时也成为黑客组织眼中的重要攻击目标。最新的安全研究表明,朝鲜相关网络威胁组织正在加大对加密货币从业者的攻击力度,利用伪造的招聘网站传播恶意软件,实施信息窃取。这些恶意行动不仅暴露了行业的安全漏洞,也为个人和企业带来了极大风险。根据Cisco Talos于2025年6月发布的最新报告,一款名为“PylangGhost”的新型Python远程访问木马(RAT)正在积极传播,且被确认为朝鲜知名黑客组织“Famous Chollima”或“Wagemole”所使用。该恶意软件旨在通过虚假的加密货币招聘流程,诱骗区块链和加密货币领域的求职者,最终窃取其数字钱包凭证及密码管理信息。此次攻击主要针对印度地区的职业人士,并广泛涵盖了拥有相关技术经验的用户。
攻击流程巧妙且具有较强的社交工程手法。攻击者首先构建多个假冒知名加密平台如Coinbase、Robinhood和Uniswap的招聘网站,制造出逼真的招聘环境。这些虚假平台不仅外观专业,还通过伪装成招聘人员的联系人发送邀请,诱导受害者访问一个技能测试网站。通过这一环节,攻击者进一步搜集目标信息和获取初步信任。随后,受害者会被邀请参加所谓的在线视频面试,过程中被要求允许摄像头和麦克风权限。此时,攻击者趁机诱导用户复制并执行恶意命令,声称这是更新视频驱动以确保面试顺利进行。
实际上,此举为恶意软件的植入提供了途径,导致受害设备被严重感染。PylangGhost木马是一种多功能恶意程序,具备强大的远程控制能力。启动后,攻击者可以远程操控受感染设备,窃取大量敏感数据。包括针对80多种浏览器扩展的cookie和凭证窃取,涉及密码管理器和加密钱包应用,如MetaMask、1Password、NordPass、Phantom、Bitski、Initia、TronLink与MultiverseX等。这些凭证一旦被黑客掌握,受害者的数字资产将面临直接威胁。此外,PylangGhost还能进行截图、文件管理、系统信息收集,并持续维持对设备的访问权限。
这些功能使得攻击不仅限于被动窃取,更能在受害设备上执行各种远程操作,增加事件风险和清除难度。值得注意的是,这一攻击手法并非首次出现。类似的使用伪造招聘和面试的方法,已经被北朝鲜相关黑客组织多次采用。2025年早些时候,涉及Bybit交易所1.4亿美元黑客事件的攻击者,也曾采用带有恶意代码的招聘测试工具,针对加密货币开发者实施渗透。在数字货币行业人才紧缺的环境下,求职者急于找到理想工作容易忽视潜在风险,这为攻击者提供了便利。面对这种复杂的威胁,相关专业人士及企业必须加强安全意识和防护措施。
首先,避免点击不明或可疑的招聘链接,谨慎核实招聘平台和联系人身份。建议通过官方渠道或知名招聘网站申请工作,避免通过第三方社交媒体或邮件信息操作敏感步骤。其次,提升对恶意软件特征的辨识能力,尤其是当被要求执行系统命令或开放权限时应高度警惕。多因素认证(MFA)的使用可以增加账号的安全防护层级,即使凭证被窃取,也能降低被攻击成功的风险。企业应强化内网安全,定期进行漏洞扫描及安全培训,构建完善的应急响应机制。与此同时,密码管理器和数字钱包的安全更新与版本控制也不可忽视。
加密资产用户应定期备份并更换关键密码,防范盗取带来的经济损失。总体来看,朝鲜黑客组织对加密货币行业的攻击策略,反映了当前网络安全环境的严峻形势。技术进步为区块链领域带来了革命性的便利,同时也催生了更加复杂的安全挑战。加密货币相关人员及机构必须提高警觉,完善防护体系,以应对日益多样化的网络威胁。未来,随着人工智能、大数据和云计算等技术的深度融合,网络攻击手段预计将更加智能化和隐蔽化。加强跨国合作、信息共享与技术研发,将是保障加密货币生态安全不可或缺的环节。
对个人用户而言,保持良好的安全习惯和警惕性,是守护数字资产安全的第一道防线。总之,加密货币行业的快速扩展伴随着网络犯罪的抬头。朝鲜通过新型信息窃取恶意软件瞄准行业从业者,不仅造成个人经济损失,也威胁行业整体的信任体系。唯有通过持续的安全教育、技术创新与合规监管,才能筑牢数字货币发展的安全基石,推动行业健康稳定地向前发展。
