揭秘朝鲜黑客如何伪装求职者窃取数十亿美元加密货币

币安创始人赵长鹏（CZ）近日发出紧急警告，揭示了来自朝鲜的复杂网络威胁。黑客正通过伪装成求职者潜入加密货币公司，从而发动一系列攻击。这一行动是更大规模网络攻击的一部分，仅2024年便导致约13亿美元的损失，而2025年上半年更是造成了超过22亿美元的巨额资金流失。黑客利用精心策划的手法，例如伪造求职申请、虚假面试以及贿赂内部员工，以入侵这些公司的核心系统。据赵长鹏透露，黑客通常将目标锁定在开发、安全和财务部门的关键职位，以此作为“突破口”。

这些黑客的手段不断演变，其中一个显著案例便是创建看似合法的虚假美国公司，如Blocknovas LLC和Softglide LLC，用作网络攻击的掩护。这些实体的名字听上去十分专业，甚至注册在真实的地点，进一步增加可信度。例如，Blocknovas LLC与南卡罗来纳州的一块空地有关，而Softglide LLC则与布法罗的一家小型税务局相关联。业内人士认为，这些行为是朝鲜特工为渗透全球加密货币基础设施而制定的更广泛战略的一部分。

与此同时，一种名为PylangGhost的高级Python恶意软件已成为主要威胁。该恶意软件与朝鲜关联组织“Famous Chollima”有关，并通过冒充知名企业的虚假求职面试网站传播，包括：

和 . Talos团队记录了这些网站如何利用社会工程学技术，以安装视频驱动程序为幌子诱骗受害者下载恶意负载。一旦安装，PylangGhost会授予攻击者远程访问系统的权限，并能够从80多个浏览器扩展程序中窃取凭证，包括MetaMask、Phantom和NordPass。这种恶意软件因其复杂功能而备受关注，例如远程文件访问和操作系统shell控制。

除了恶意软件部署，朝鲜特工还采用复杂的洗钱策略，并购买被盗的美国身份信息以掩盖资金来源。这些策略包括使用虚假账户、交易拆分以及代币交换技术。美国司法部已将这些活动与朝鲜高级官员联系起来，其中包括对外贸易银行的沈铉燮（Sim Hyon Sop）以及与朝鲜政府有关联的IT公司Chinyong的金尚万（Kim Sang Man）。被盗资金往往被重新用于支持朝鲜的军事和武器项目，凸显了这些网络行动背后隐藏的地缘政治风险。

面对日益严重的威胁，国际社会正在加强合作。韩国和美国已正式签署网络安全合作协议，专门针对朝鲜加密货币运营展开合作。这项合作包括联合研究，旨在防止加密货币盗窃并追踪被盗资产。这一举措是在近期加密货币价值飙升之后实施的，尤其是：

价格的上涨引发了对网络攻击加剧的担忧。通过整合资源和专业知识，两国希望加强对朝鲜网络攻击手段不断演变的防御能力。

业内公司已被建议强化网络安全协议，尤其是在招聘过程中。赵长鹏强调了培训员工识别可疑文件的重要性，并呼吁实施严格的候选人筛选程序。这些建议是降低恶意行为者以虚假身份渗透风险的更广泛努力的一部分。随着加密货币行业的持续扩张，其所面临的威胁也愈加复杂，因此保持警惕并采取主动措施对于保护数字资产至关重要。