發生什麼事?
- 北韓駭客組織開始以提供高薪IT自由工作為誘餌,透過LinkedIn、Telegram等社交平台接觸目標公司的員工。他們藉此建立信任,誘騙受害者執行惡意程式,以此入侵企業內部系統。
- 駭客的最終目標是企業的雲端平台(如AWS、Google Cloud)。由於加密貨幣公司普遍採用「雲端優先」架構,雲端成為存放關鍵資產的「金庫」。駭客在取得初步權限後,會橫向移動至雲端,竊取憑證並尋找處理交易的關鍵主機,以盜取價值數百萬美元的加密貨幣。
- 這類攻擊並非個案,而是由國家級、規模達數千人的組織在背後策動,已造成數十億美元的損失。駭客的技術不斷升級,不僅懂得繞過安全機制,更開始利用AI人工智慧來產生更逼真的釣魚信件與惡意腳本,使其威脅的規模和成功率都顯著提高。
一封「夢幻工作」的邀約,竟是公司災難的開始?
根據Google Cloud與雲端資安公司Wiz的最新研究報告,北韓駭客組織正採用社交工程手法,以高薪的自由工作者職位為誘餌,誘騙科技從業人員,進而滲透企業的雲端系統,竊取價值數百萬美元的加密貨幣。
Google Cloud在其《2025年下半年雲端威脅情勢報告》中指出,Google威脅情報小組(GTIG)正在積極追蹤名為「UNC4899」的北韓駭客組織。這個組織被認為隸屬於北韓偵察總局,其活動與公開報導的「TraderTraitor」威脅行為高度重疊。
報告揭露了兩起發生在2024年第三季至2025年第一季的真實案例。在這兩起事件中,UNC4899的成員分別透過LinkedIn和Telegram等社交平台接觸不同公司的員工,偽裝成提供軟體開發的自由工作機會。
駭客透過多次溝通與目標建立信任後,便會指派任務,誘使員工在自己的工作站上執行惡意軟體。一旦員工上鉤,惡意軟體如下載器「GLASSCANNON」及後門程式「PLOTTWIST」和「MAZEWIRE」便會被植入,並與駭客的指揮與控制中心建立連線。
隨後,駭客便能對受害企業的內部網路進行偵察,竊取登入憑證,最終將目標轉移至企業的雲端環境。
報告中詳細描述了其中一起針對Google Cloud的攻擊:駭客利用竊得的憑證,透過匿名VPN服務遠端操作,成功鎖定了負責處理加密貨幣交易的主機。
儘管過程中一度因多因素驗證(MFA)的保護而受阻,但駭客最終發現了一個擁有管理員權限的帳戶。他們短暫地禁用了該帳戶的MFA要求,在成功竊取「價值數百萬美元的加密貨幣」後,又迅速重新啟用MFA以掩蓋行蹤,手法極為狡猾。
另一起事件則發生在AWS的雲端環境中,同樣造成了數百萬美元的加密貨幣損失。
惡意攻擊的演變與龐大規模
資安公司Wiz的報告也證實了這一威脅,並指出「TraderTraitor」更像是一種活動模式的總稱,其背後涵蓋了「Lazarus Group」、「APT38」、「BlueNoroff」等多個知名的北韓駭客團體。
這些活動最早可追溯至2020年,當時他們便已開始利用求職誘餌,誘騙員工下載基於JavaScript和Node.js的惡意加密貨幣應用程式。此類活動曾導致多起重大資安事件,包括駭客組織「拉撒路集團」(Lazarus Group)竊取知名區塊鏈遊戲Axie Infinity側鏈Ronin價值6.2億美元的資產。
到了2024年,他們更加倍鎖定加密貨幣交易所,製造了多起驚人的竊案,包括日本交易所DMM Bitcoin的3.05億美元失竊案,以及2024年底Bybit交易所損失15億美元的駭客攻擊。
雲端成為主戰場,AI助長威脅
專家分析,北韓駭客之所以將目標集中在雲端系統,是因為加密貨幣產業的公司通常較新,傾向於採用「雲端優先」(cloud-first)的架構。
Wiz的戰略威脅情報總監班傑明.里德(Benjamin Read)表示:「我們相信TraderTraitor專注於雲端相關的漏洞,因為數據在那裡,錢也就在那裡。」
這些駭客組織的規模驚人,里德估計其相關從業人員「可能多達數千人」,並在多個重疊的團隊中運作。僅在2025年上半年,他們竊取的加密貨幣總額就已高達16億美元。
「雖然很難得出一個具體數字,但很明顯,北韓政權正在投入大量資源。」
Google威脅情報小組的歐洲顧問長傑米.科利爾(Jamie Collier)指出,北韓駭客是採用新技術的先行者,他們早已開始利用人工智慧(AI)來產生「更具說服力的關係建立郵件」並用AI編寫惡意腳本。AI的使用產生了「戰力倍增」的效果,讓他們能夠擴大攻擊規模。
「在聯繫目標時,他們經常冒充獵頭、記者、主題專家或大學教授,」他補充道,他們通常會來回溝通幾次,以便與目標建立融洽的關係。
根據TRM Labs的一份報告,去年全球被盜的加密貨幣資金中,有35%流向了北韓。專家一致認為,鑑於北韓駭客組織持續演進的技術和靈活的策略,他們在可預見的未來仍將是加密貨幣領域最主要的威脅之一。
科利爾總結道:「我們沒有看到任何跡象表明他們會放慢腳步,並預計這種擴張將會持續下去。」
參考資料:decrypt、google cloud
