北韓駭客利用虛假加密貨幣職位竊取錢包憑證：思科塔洛斯報告

發布日期：2025年06月Jun 20, 2025日 12:01 | 分類：加密貨幣分析

摘要：思科塔洛斯（Cisco Talos）報告指出，北韓駭客正透過偽造的加密貨幣職位網站散布惡意軟體，目標是區塊鏈專業人士，意圖竊取錢包憑證。這些攻擊主要針對印度地區的求職者，手法包括建立虛假的求職網站，冒充知名公司如Coinbase、Robinhood和Uniswap。

市場背景與現況

近年來，加密貨幣市場的快速發展吸引了大量人才，但也同時引來了網路犯罪分子的覬覦。隨著區塊鏈技術的日益成熟，相關職位的需求也持續增長，這使得求職者成為駭客們理想的目標。尤其是在經濟狀況不佳的國家或地區，求職者更容易受到高薪誘惑，進而落入精心設計的網路陷阱。本次事件凸顯了加密貨幣產業在高速發展的同時，也必須高度重視網路安全防護，並加強對求職者的安全教育。

核心分析

思科塔洛斯的研究發現，一個與北韓有關聯的駭客組織正在使用一種名為“PylangGhost”的新型惡意軟體，針對加密貨幣產業的求職者。這種基於Python的遠端存取木馬（RAT, Remote Access Trojan）旨在竊取加密貨幣錢包和密碼管理器的密碼。該駭客組織，也被稱為“Famous Chollima”或“Wagemole”，主要以印度地區擁有加密貨幣和區塊鏈經驗的求職者和員工為目標。攻擊者會建立虛假的求職網站，冒充Coinbase、Robinhood和Uniswap等合法公司，並通過社交工程（Social Engineering）技巧誘騙受害者。

攻擊過程包括：首先，由虛假的招聘人員發送邀請至技能測試網站，進行信息收集。接著，受害者被誘騙開啟視訊和相機權限進行虛假的面試，並在假裝安裝更新後的視訊驅動程式的情況下，被欺騙複製和執行惡意命令，從而導致設備被入侵。PylangGhost是先前記錄的GolangGhost RAT的變種，功能相似。執行後，這些命令能夠遠端控制受感染的系統，並從80多個瀏覽器擴充功能中竊取Cookie和憑證，其中包括MetaMask、1Password、NordPass、Phantom、Bitski、Initia、TronLink和MultiverseX等密碼管理器和加密貨幣錢包。

此外，該惡意軟體還可以執行其他任務，包括截取螢幕截圖、管理文件、竊取瀏覽器數據、收集系統信息以及保持對受感染系統的遠端存取。研究人員還指出，根據程式碼中的註釋判斷，駭客不太可能使用人工智慧大型語言模型來協助編寫程式碼。這並非北韓駭客首次使用虛假職位和面試來誘騙受害者。今年四月，與價值14億美元的Bybit盜竊案有關的駭客，也曾使用感染惡意軟體的虛假招聘測試來針對加密貨幣開發人員。

風險與機會

此次事件揭示了加密貨幣產業面臨的重大風險：網路釣魚攻擊和社交工程詐騙。求職者在尋找工作機會時，必須保持高度警惕，仔細核實招聘信息的真實性，避免輕易點擊不明連結或下載可疑文件。對於企業而言，加強員工的網路安全意識培訓至關重要，並應定期進行安全演練，以提高應對網路攻擊的能力。另一方面，這也為網路安全公司帶來了機會，他們可以開發更先進的防禦工具和服務，幫助企業和個人保護其加密資產。

同時，監管機構也應加強對加密貨幣行業的監管，制定更嚴格的安全標準，以保護投資者和使用者的利益。區塊鏈技術本身具有高度的安全性，但應用層面的安全漏洞仍然可能被駭客利用。因此，開發者應不斷提升程式碼的安全性，並進行徹底的安全審計，以減少潛在的風險。

未來展望

隨著加密貨幣市場的持續發展，網路安全威脅也將不斷演變。未來，駭客可能會採用更複雜的攻擊手法，例如利用人工智慧生成更逼真的釣魚郵件，或者開發更難以檢測的惡意軟體。因此，加密貨幣產業需要不斷提升安全防護能力，並加強國際合作，共同打擊網路犯罪。同時，使用者也應提高警惕，學習保護自己的數位資產，例如使用硬體錢包、啟用雙重驗證等。

結論

北韓駭客利用虛假加密貨幣職位竊取錢包憑證的事件，再次敲響了加密貨幣安全防護的警鐘。面對日益複雜的網路威脅，加密貨幣產業需要採取更積極的措施，加強安全防護，提升使用者安全意識，並與全球網路安全社群合作，共同維護加密貨幣生態系統的安全。唯有如此，才能確保加密貨幣市場的健康發展，並保護投資者和使用者的利益。

免責聲明：本文僅供參考，不構成投資建議。投資加密貨幣有風險，請謹慎決策。

文章來源:https://cointelegraph.com/news/north-korea-targets-crypto-job-seekers-to-plant-password-jacking-malware