谷歌云和Wiz的网络安全研究人员警告称,朝鲜IT工作者正通过伪造身份渗透加密货币公司,利用远程招聘骗局窃取价值数百万美元的数字资产。
- 朝鲜黑客组织UNC4899正将加密货币公司作为重点攻击目标
- 该组织已利用谷歌云和AWS环境实施多起金额达数百万美元的加密货币盗窃案
两家公司发布的独立报告追踪了UNC4899(又称TraderTraitor),该组织与朝鲜军事情报机构有关联。
根据谷歌云《2025年下半年云威胁地平线报告》,UNC4899隶属于朝鲜主要对外情报机构侦察总局。
该组织至少自2020年以来持续活跃,专注于区块链和加密货币领域,并采用高级社会工程学手段和针对云环境的攻击技术。
UNC4899如何渗透云环境?
谷歌披露了两起独立事件:UNC4899分别入侵了使用谷歌云和AWS的企业员工。黑客均伪装成自由职业招聘方,通过LinkedIn或Telegram接触目标。
建立联系后,他们诱骗受害者在工作站执行恶意Docker容器,部署下载器与后门程序,创建通向攻击者控制基础设施的通道。
数日内,该组织横向渗透内部网络,窃取凭证,并锁定处理加密货币交易的基础设施。
在其中一起事件中,UNC4899成功禁用某谷歌云特权账户的多因素认证(MFA),从而访问钱包相关服务。窃取价值数百万美元的加密货币后,他们重新启用MFA以规避检测。
另一起AWS相关事件中,攻击者使用窃取的长期访问密钥,但因受害者采用临时凭证和MFA策略而受限。他们通过窃取会话cookie绕过防御,篡改AWS S3存储桶中的JavaScript文件。
这些文件被篡改为将加密货币钱包交互重定向至攻击者控制的地址,导致又一起数百万美元盗窃案。
大规模攻击行动
云安全公司Wiz的分析结论与谷歌高度吻合。
Wiz专家指出该组织使用多个别名(Jade Sleet/Slow Pisces/TraderTraitor),对应不同朝鲜国家背景实体(如Lazarus Group/BlueNoroff/APT38)的战术组合。
Wiz最新报告显示,UNC4899虽自2020年活跃,但直到2023年才将虚假职位招聘作为核心手段,尤其针对加密货币交易所员工。
该组织涉及的最重大攻击包括:2024年日本DMM Bitcoin遭窃3.05亿美元,以及Bybit平台15亿美元盗币案。
Wiz警告称,云基础设施始终是攻击入口,因多数加密公司采用云优先架构而本地防御薄弱。
巨额加密货币损失
经济损失估算虽存差异但均居高不下。谷歌与Wiz确认UNC4899单次作案金额均达数百万美元,而民间研究者与政府机构统计显示更惊人损失。
区块链分析公司Chainalysis 2024年报告指出,朝鲜黑客当年窃取13.4亿美元加密货币。Wiz研究人员最新估算,2025年上半年朝鲜关联黑客已盗取16亿美元数字资产。
独立区块链调查员ZachXBT推测,2025年初至今可能有345至920名朝鲜渗透者潜入加密行业,累计获取超1600万美元薪资。
