根据谷歌云和安全公司Wiz的独立研究，朝鲜黑客组织利用自由职业IT工作的诱惑，获取云系统的访问权限，并盗取价值数百万美元的加密货币。

谷歌云的2025年下半年云威胁前景报告显示，谷歌威胁情报组“正在积极追踪”UNC4899，这是一个朝鲜黑客单位，该单位在通过社交媒体联系员工后成功入侵了两家公司。

在这两起事件中，UNC4899给员工分配了任务，导致员工在其工作站上运行恶意软件，使黑客组织能够在其指挥和控制中心与目标公司的云系统之间建立连接。

因此，UNC4899能够探索受害者的云环境，获取凭证材料，并最终识别出负责处理加密交易的主机。

虽然每起事件针对的是不同的（未命名）公司和不同的云服务（谷歌云和AWS），但都导致了“价值数百万的加密货币被盗”。

谷歌威胁情报组欧洲首席威胁情报顾问Jamie Collier告诉Decrypt，朝鲜黑客使用工作诱饵的行为现在“相当普遍和广泛”，反映出相当高的复杂程度。

“他们在联系目标时，常常假装成招聘人员、记者、主题专家或大学教授，”他说，并补充说，他们通常会进行多次来回沟通，以便与目标建立关系。

迅速行动

Collier解释说，朝鲜威胁行为者是最早迅速采用新技术（如AI）的人之一，他们利用这些技术制作“更具说服力的建立关系的电子邮件”和编写恶意脚本。

云安全公司Wiz也报告了UNC4899的恶行，指出该组织还被称为TraderTraitor、Jade Sleet和Slow Pisces。

TraderTraitor代表了一种特定类型的威胁活动，而不是一个特定的组织，支持朝鲜的实体Lazarus Group、APT38、BlueNoroff和Stardust Chollima都参与了典型的TraderTraitor恶行，Wiz表示。

在对UNC4899/TraderTraitor的分析中，Wiz指出，活动始于2020年，从一开始，负责的黑客组织就利用工作诱饵诱使员工下载基于JavaScript和Node.js使用Electron框架构建的恶意加密应用程序。

根据Wiz的说法，该组织在2020年至2022年的活动“成功入侵了多个组织”，包括Lazarus Group对Axie Infinity的Ronin网络的$6.2亿的入侵。

TraderTraitor的威胁活动在2023年演变为使用恶意开源代码，而在2024年，则加大了对虚假工作机会的利用，主要针对交易所。

最引人注目的是，TraderTraitor组织负责了对日本DMM Bitcoin的$3.05亿黑客攻击，以及2024年底的15亿美元Bybit黑客攻击，该交易所在今年2月披露了这一消息。

针对云

与谷歌强调的恶行一样，这些黑客攻击在不同程度上针对云系统，Wiz表示，这些系统对加密货币构成了重大漏洞。

“我们相信，TraderTraitor专注于与云相关的攻击和技术，因为数据和金钱都在这里，”Wiz的战略威胁情报总监Benjamin Read告诉Decrypt。“这在加密行业尤其如此，因为这些公司较新，可能以云优先的方式构建了他们的基础设施。”

Read解释说，针对云技术使黑客组织能够影响广泛的目标，从而增加了赚取更多金钱的潜力。

他说，这些组织正在进行大规模的业务，“预计到2025年，已盗取的加密货币达16亿美元”，并补充说，TraderTraitor及相关组织的员工“可能有数千人”，他们在多个有时重叠的组织中工作。

“虽然很难给出一个具体的数字，但显然朝鲜政权在这些能力上投入了大量资源。”

最终，这种投资使朝鲜成为加密黑客的领导者，TRM Labs在2月份的报告中得出结论，去年该国占所有被盗资金的35%。

专家表示，所有可用迹象表明，该国在与加密相关的黑客活动中可能会继续存在一段时间，尤其考虑到其行动人员开发新技术的能力。

“朝鲜威胁行为者是一支动态而灵活的力量，持续适应以满足政权的战略和财务目标，”谷歌的Collier说。

Collier重申，朝鲜黑客越来越多地利用AI，他解释说，这种使用实现了“力量倍增”，反过来使黑客能够扩大他们的攻击规模。

“我们没有看到他们放缓的迹象，并预计这种扩张将继续，”他说。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。