朝鲜黑客通过发布招聘广告要求求职者下载文件或点击链接等方式窃取敏感信息。

撰文：Eric Johansson & Tyler Pearson, DL News

编译：Felix, PANews

朝鲜黑客窃取了至少 34 亿美元的加密货币，部分是通过 LinkedIn（领英）攻击。

34 亿美元这一数字是对 2007 年以来与朝鲜 Lazarus Group 有关的黑客攻击的总金额，其中包括 2022 年以太坊与 Harmony 间的资产跨链桥 Horizon 遭到攻击，损失金额约为 1 亿美元。2023 年价值超 3500 万美元的 Atomic 钱包盗窃案以及 2017 年的 WannaCry 勒索软件攻击。

区块链公司 CertiK 安全运营总监 Hugh Brooks 表示：「Lazarus Group 一直是朝鲜政权的主要收入来源。」

可能不太为人所知的是，黑客如何利用 LinkedIn 等招聘平台进行社交工程（注：社交工程指一种非纯计算机技术类的入侵。它多依赖于人类之间的互动和交流，且通常涉及并使用到欺骗其他人来破坏正常的安全过程，以达到攻击者的目的，其中可能包括获取到攻击者想要得到的特定信息）和网络钓鱼攻击。

网络犯罪团伙在 2019 年发动的「Operation In(ter)ception」行动就是一个生动的例子。

据网络安全公司 ESET 报道，Lazarus Group 将欧洲和中东的军事和航空航天公司作为目标，在 LinkedIn 等平台上发布招聘广告来欺骗求职者，要求求职者下载部署了内嵌可执行文件的 PDF，实行数字攻击，。

社会工程和网络钓鱼攻击都试图利用心理操纵来诱骗受害者放松警惕，进行点击链接或下载文件等危及安全的行为。他们的恶意软件使黑客能够瞄准受害者系统中的漏洞并窃取敏感信息。

Lazarus Group 在针对加密货币支付提供商 CoinsPaid 的为期六个月的行动中使用了类似的方法，导致今年 7 月 22 日被盗 3700 万美元。

CoinsPaid 披露，今年 3 月份，CoinsPaid 的工程师收到一份关于技术基础设施的问题清单，这些问题来自一家所谓的「乌克兰加密处理初创公司」。6 月和 7 月间，工程师们收到了虚假的工作邀约。7 月 22 日，一名员工以为在面试一份收入丰厚的工作，于是下载了恶意软件，作为所谓技术测试的一部分。

此前黑客组织已经花费 6 个月时间了解 CoinsPaid，包括团队成员、公司的结构等所有可能的细节。当该员工下载恶意代码时，黑客就可以访问 CoinsPaid 的系统，然后利用软件漏洞成功伪造授权请求，从 CoinsPaid 热钱包中提取资金。

在整个攻击过程中，黑客发起了分布式拒绝服务等技术攻击（注：分布式拒绝服务攻击简称 DDoS，这种网络攻击形式尝试用恶意流量淹没网站或网络资源，从而导致网站或网络资源无法正常运行。 在分布式拒绝服务 (DDoS) 攻击中，攻击者发出海量实际上并不需要的互联网流量，耗尽目标的资源，造成正常流量无法到达预定目的地），以及一种被称为暴力破解的策略——多次提交密码，希望最终能猜对。

该组织还以利用零日攻击（注：零日漏洞或零时差漏洞通常是指还没有补丁的安全漏洞，而零日攻击或零时差攻击则是指利用这种漏洞进行的攻击。提供该漏洞细节或者利用程序的人通常是该漏洞的发现者。零日漏洞的利用程序对网络安全具有巨大威胁，因此零日漏洞不但是黑客的最爱，掌握多少零日漏洞也成为评价黑客技术水准的一个重要参数）和部署恶意软件来窃取资金、开展间谍活动和一般破坏活动。

2019 年，美国财政部制裁了 Lazarus Group，正式将其与朝鲜侦察总局的间谍联系起来。美国财政部还认为该组织为恐怖主义国家的核武器计划提供了资金。