【加密领域】朝鲜黑客利用虚假工作机会入侵云系统，窃取数十亿美元加密货币

引言朝鲜特工利用虚假的 IT 工作机会和恶意软件侵入了加密货币公司的云系统，今年窃取了数十亿美元。

简而言之

• 谷歌和 Wiz 发现，朝鲜黑客利用虚假的 IT 工作机会入侵云系统并窃取数百万的加密货币。

• TraderTraitor 活动自 2020 年以来不断发展，以恶意软件和人工智能生成的诱饵为目标攻击加密货币公司。

• 这些团伙今年已经窃取了价值 16 亿美元的加密货币，并且还在继续扩大其行动。

根据谷歌云和安全公司 Wiz 的独立研究，朝鲜黑客组织正在利用自由职业 IT 工作的诱惑来获取云系统的访问权限并窃取价值数百万美元的加密货币。

谷歌云的《2025 年下半年云威胁展望报告》显示，谷歌威胁情报小组正在“积极追踪” UNC4899，这是一个朝鲜黑客组织，该组织通过社交媒体联系员工后成功入侵了两家公司。

在这两起案件中，UNC4899 都向员工布置了任务，导致员工在工作站上运行恶意软件，从而使黑客组织能够在其指挥和控制中心与目标公司的云系统之间建立连接。

因此，UNC4899 能够探索受害者的云环境，获取凭证材料并最终识别负责处理加密交易的主机。

虽然每起事件都针对不同的（未具名）公司和不同的云服务（Google Cloud 和 AWS），但都导致“价值数百万的加密货币”被盗。

谷歌威胁情报集团欧洲首席威胁情报顾问 Jamie Collier 向Decrypt表示，朝鲜黑客使用工作诱惑现在“相当普遍和广泛”，反映出相当程度的复杂程度。

“他们在联系目标人物时经常假扮为招聘人员、记者、领域专家或大学教授，”他说道，并补充说，他们经常来回沟通几次以与目标人物建立融洽的关系。

01

迅速行动

科利尔解释说，朝鲜威胁行为者是首批迅速采用人工智能等新技术的人之一，他们利用这些技术制作“更有说服力的建立融洽关系的电子邮件”并编写恶意脚本。

云安全公司 Wiz 也报道了 UNC4899 的攻击行为，并指出该组织还被称为 TraderTraitor、Jade Sleet 和 Slow Pisces。

Wiz 表示，TraderTraitor 代表的是某种类型的威胁活动，而非某个特定的团体，朝鲜支持的实体 Lazarus Group、APT38、BlueNoroff 和 Stardust Chollima 都是典型的 TraderTraitor 攻击的幕后黑手。

Wiz 在对 UNC4899/TraderTraitor 的分析中指出，该活动始于 2020 年，从一开始，负责任的黑客组织就使用工作诱饵诱骗员工下载使用 Electron 框架在 JavaScript 和Node.js上构建的恶意加密应用程序。

Wiz 表示，该组织在 2020 年至 2022 年期间的行动“成功入侵了多个组织”，其中包括 Lazarus Group对 Axie Infinity 的 Ronin Network 进行的6.2 亿美元入侵。

TraderTraitor 威胁活动随后在 2023 年进一步发展，开始使用恶意开源代码；而在 2024 年，其虚假招聘活动更是增加了一倍，主要针对的是交易所。

最值得注意的是，TraderTraitor 组织对日本 DMM Bitcoin 造成3.05 亿美元的黑客攻击，以及 2024 年底价值 15 亿美元的 Bybit 黑客攻击负责，该交易所于今年 2 月披露了此事。

02

瞄准云计算

与谷歌强调的漏洞一样，这些黑客攻击在不同程度上针对了云系统，并且根据 Wiz 的说法，此类系统对于加密技术来说是一个重大漏洞。

Wiz 战略威胁情报总监 Benjamin Read 告诉Decrypt：“我们认为 TraderTraitor 之所以专注于云相关的漏洞和技术，是因为数据和金钱都蕴藏在那里。对于加密货币行业来说尤其如此，因为这些公司成立时间较短，而且很可能已经以云优先的方式构建了基础设施。”

里德解释说，针对云技术使黑客组织能够影响广泛的目标，从而增加赚取更多钱财的可能性。

他说，这些团伙生意很大，“到 2025 年为止，估计窃取的加密货币价值已达 16 亿美元”，并补充说，TraderTraitor 和相关团伙的员工“可能有数千人”，他们在众多团伙中工作，有时团伙之间还会有重叠。

“虽然很难给出一个具体的数字，但很明显朝鲜政权正在为这些能力投入大量资源。”

最终，这种投资使朝鲜成为加密黑客攻击的领导者，TRM Labs 2 月份的一份报告得出结论，该国占去年所有被盗资金的 35%。

专家表示，所有迹象都表明，该国在未来一段时间内可能仍会继续参与加密相关的黑客攻击，尤其是考虑到该国特工开发新技术的能力。

谷歌的科利尔表示：“朝鲜威胁行为者是一支充满活力且敏捷的力量，他们不断调整以满足该政权的战略和财务目标。”

科利尔重申朝鲜黑客越来越多地利用人工智能，并解释说这种利用可以实现“力量倍增”，从而使黑客能够扩大他们的攻击规模。

他说：“我们没有看到任何放缓的迹象，预计这种扩张将会持续下去。”

免责声明：

本文所发布的内容和图片旨在传播行业信息，版权归原作者所有，非商业用途。如有侵权，请与我们联系删除。所有信息不构成任何投资建议，加密市场具有高度风险，投资者应基于自身判断和谨慎评估做出决策。投资有风险，入市需谨慎。

设为星标 避免错过

虚拟世界没有旁观者，每个点赞都是创造历史的像素

关注我，一起探索AWM⁺

2025-07-28

2025-07-25

2025-07-24

商业赞助

点击下方 “目录” 阅读更多