北朝鲜黑客渗透云环境的手法
摘要:北朝鲜黑客是如何渗透云环境并窃取加密货币的?根据谷歌云2025年下半年发布的《云威胁地平线报告》,该公司的威胁情报团队正在监控与北朝鲜相关的黑客组织UNC4899。该组织被指控在与员工通过社交媒体平台接触后,侵入了两个组织。
报告指出:“自2020年以来,UNC4899主要针对加密货币和区块链行业,并展示了执行复杂供应链攻击的高超能力。”
报告提到,在2024年第三季度至2025年第一季度之间,网络安全公司Mandiant对与UNC4899相关的两起事件进行了响应,这些事件影响了一家组织的谷歌云环境和另一家组织的AWS环境。虽然入侵的初始和最终阶段使用了相似的战术,但中间阶段所采用的方法有所不同,这可能反映了受害者系统架构的差异。
攻击的初始阶段
报告进一步详细说明,在这些攻击的初始阶段,黑客通过社交媒体平台与受害者建立联系,其中一名黑客通过Telegram,另一名通过LinkedIn,假装是自由职业的软件开发招聘人员。受害者员工在不知情的情况下被引导在其工作站上运行恶意Docker容器。
这一行为触发了恶意软件的部署,包括GLASSCANNON等下载器和PLOTTWIST、MAZEWIRE等后门,最终使攻击者能够连接到其指挥控制(C2)服务器。
报告指出:“在这两起事件中,UNC4899在受害者的主机和连接环境上进行了多次内部侦察活动,然后获取了凭证材料,利用这些材料转向受害者的云环境。”
虚假工作机会的利用
北朝鲜黑客越来越依赖虚假工作机会来渗透公司。今年7月,美国财政部对宋金赫实施制裁,指控其运营一项计划,将伪装的北朝鲜IT工人安置在美国公司中,为朝鲜民主主义人民共和国(DPRK)创造收入。这些工人通常在中国或俄罗斯,使用虚假身份和国籍,雇主对此毫不知情。
去中心化生态系统的重要性
随着全球威胁迫使加密平台加强安全措施,这提醒我们去中心化、社区驱动的生态系统如Shibarium的重要性。与易受中心化攻击的传统设置不同,Shibarium的开放基础设施使开发者能够以透明性、韧性和信任为核心进行构建。
Shibarium通过在验证者、开发者和社区参与者之间分散控制,避免了单点故障的风险。这种去中心化不仅使国家支持的黑客组织等恶意行为者更难以立足,还允许在出现漏洞时更快地进行检测和响应。
随着加密领域面临日益增加的网络风险,像Shibarium这样的生态系统强调了一条不同的前进道路,根植于去中心化、透明性和共同致力于构建服务于人民而非剥削人民的工具的承诺。
