朝鲜黑客利用求职骗局渗透企业 盗取巨额加密货币资产

币安联合创始人赵长鹏（CZ）向加密货币行业发出严厉警告，称朝鲜黑客的威胁日益加剧，他们正越来越多地通过复杂的求职骗局渗透企业。根据网络安全组织安全联盟（SEAL）发布的一份档案，已发现超过 60 名与朝鲜行动有关的冒名顶替者，攻击者冒充开发人员、IT 员工和金融专业人士，使用窃取的身份证件、伪造的工作经历和精心修饰的简历来获取工作。

这些黑客通常与 Lazarus 等组织有关联，他们已经超越了传统的网络钓鱼和恶意软件攻击，利用人力资源作为绕过安全防御的载体。

行业数据显示，仅在 2024 年，朝鲜黑客就窃取了价值超过 13 亿美元的加密货币，而 2025 年上半年损失飙升至 22 亿美元，这凸显了威胁的规模。

攻击手段如今包括在技术面试材料中嵌入恶意软件，例如虚假的“Zoom 更新”或“示例代码”，以及使用伪装成支持工单的恶意链接引诱受害者。在一个案例中，一家印度外包公司遭到入侵，导致其损失 4 亿美元。

一名员工窃取了用户数据，包括社会安全号码。朝鲜特工还创建了 Blocknovas LLC 和 Softglide LLC 等虚假美国公司，作为发动攻击的幌子，FBI 在正在进行的调查中查封了与这些实体相关的域名。

渗透策略不仅限于直接雇佣。研究人员记录了使用基于 Python 的恶意软件（例如 PylangGhost）的情况，这些恶意软件通过模仿 Coinbase 等大型公司的虚假求职面试平台进行部署。

这些网站诱骗受害者下载可远程访问系统的有效载荷，并使用高级技术，包括窃取 80 个浏览器扩展程序和加密钱包的凭证。此外，朝鲜黑客还通过供应链攻击，将全球加密专业网络作为目标，例如在 GitHub 存储库和 NPM 包中插入恶意 JavaScript。

这些数据泄露事件的地缘政治影响深远。被盗资金通常被用于朝鲜政府支持的项目，包括核开发。Chainalysis 的数据显示，2024 年朝鲜网络行动占全球加密货币盗窃案的 61%。拉撒路集团尤其与多起备受瞩目的盗窃案有关，例如价值 14 亿美元的 Bybit 数据泄露事件。

赵长鹏强调，这些攻击并非孤立事件，而是旨在破坏加密货币行业安全基础设施的系统性行动的一部分，他敦促各平台实施严格的候选人筛选、员工培训和跨行业情报共享。

作为回应，大型加密货币公司正在收紧招聘规程。Coinbase 现在要求对处理敏感系统的美国员工进行现场培训，而其他公司则采用了指纹识别和背景调查。美国联邦调查局 (FBI) 和韩国国家情报院 (NSA) 加强了合作，以打击朝鲜的行动，执法部门也起诉了协助这些计划的个人，例如美国公民克里斯蒂娜·玛丽·查普曼 (Christina Marie Chapman)，她因协助伪造身份而被判处 8.5 年有期徒刑。

尽管采取了这些措施，专家警告称，威胁依然动态，朝鲜黑客正在适应新的防御措施，并利用人工智能为视频采访创建深度伪造和合成身份。