朝鲜的暗战：虚假求职者如何窃取数十亿美元的加密货币

币安创始人赵长鹏（CZ）就来自朝鲜的复杂网络威胁发出紧急警告。黑客正假扮求职者入侵加密货币公司。此次威胁是一场更广泛网络攻击活动的一部分，该活动已导致2024年13亿美元和2025年上半年超过22亿美元的损失。黑客利用精心设计的手段，例如虚假求职申请、欺诈性面试以及贿赂员工，以入侵这些公司的关键系统。据赵长鹏称，这些人通常瞄准开发、安全和财务部门的职位，将这些职位作为“敲门砖”。

这些黑客所使用的手段已发生显著演变。其中一个例子就是创建虚假的美国公司，例如 Blocknovas LLC 和 Softglide LLC，作为网络攻击的幌子。这些实体注册的名称听起来很合法，有时甚至注册在真实的地点，以显得可信。例如，Blocknovas LLC 与南卡罗来纳州的一块空地有关，而 Softglide LLC 则与布法罗的一家小型税务局有关。据信，这些行动是朝鲜特工渗透全球加密货币基础设施的更广泛战略的一部分。

一种名为 PylangGhost 的高级 Python 恶意软件也已成为主要威胁。该恶意软件与朝鲜附属组织“Famous Chollima”有关，通过冒充以下公司的虚假求职面试网站进行传播：

Coinbase 和 罗宾汉 . 思科 Talos 记录了这些网站如何利用社会工程学手段，以安装视频驱动程序为幌子诱骗受害者下载恶意负载。安装后，PylangGhost 会授予攻击者远程访问系统的权限，并使其能够从 80 多个浏览器扩展程序（包括 MetaMask、Phantom 和 NordPass）中获取凭证。该恶意软件尤其令人担忧的是其复杂的功能，例如远程文件访问和操作系统 shell 控制。

攻击范围远不止恶意软件部署。朝鲜特工还采用复杂的洗钱策略，并购买被盗的美国身份信息来掩盖资金来源。这些策略包括使用虚假账户、交易拆分和代币交换技术。美国司法部已将这些行动与朝鲜高级官员联系起来，其中包括对外贸易银行的沈铉燮（Sim Hyon Sop）和与朝鲜政府有关联的IT公司Chinyong的金尚万（Kim Sang Man）。被盗资金通常会被重新用于朝鲜的军事和武器项目，凸显了这些网络行动的地缘政治风险。

为了应对日益增长的威胁，国际合作不断加强。韩国和美国已正式签署针对朝鲜加密货币运营的网络安全合作协议。该合作涉及旨在防止加密货币盗窃和追踪被盗资产的联合研究。此举是在加密货币价值近期飙升之后做出的。

比特币 引发了人们对网络攻击增多的担忧。通过整合资源和专业知识，两国旨在加强对朝鲜网络攻击手段不断演变的防御。

公司已被建议加强网络安全协议，尤其是在招聘过程中。赵长鹏强调了培训员工防止下载可疑文件以及实施严格的候选人筛选程序的重要性。这些建议是降低恶意行为者以虚假身份进行渗透风险的更广泛努力的一部分。随着加密货币行业的持续扩张，其面临的威胁也日益复杂，因此保持警惕并采取主动措施对于保护数字资产至关重要。