警惕！朝鲜 Lazarus组织设局，加密领域开发者成狩猎目标

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

在数字金融蓬勃发展的当下，加密货币领域的安全问题日益凸显。近期，一则令人震惊的消息传来——朝鲜“Lazarus”组织竟注册虚假美国公司，以招聘之名，对加密开发者展开恶意攻击，将罪恶的黑手伸向了加密世界。

据路透社报道，经美国联邦调查局（FBI）支持的调查显示，朝鲜国家支持的网络组织“Lazarus”精心布局，在美国注册了多家虚假公司。其中，在新墨西哥州注册的Blocknovas LLC和在纽约注册的Softglide LLC成为此次行动的主要“伪装者”。网络安全公司Silent Push的研究人员证实，这些公司完全是“虚假产物”，不仅使用虚构身份和假地址进行注册，还搭建了专业网站，并在领英（LinkedIn）、Upwork和Telegram等正规平台发布招聘信息，营造出真实公司招聘的假象。

此次恶意行动的目标直指加密和Web3领域的软件工程师。当满怀求职希望的开发者与这些虚假招聘人员接触后，便会陷入精心设计的陷阱。他们受邀参加虚假面试，并收到所谓的“测试作业”。然而，这些看似普通的文件实则暗藏玄机，其中嵌入的恶意软件如同潜伏的“病毒”，一旦开发者打开文件，恶意软件便会立即启动，盗取浏览器凭证、私钥以及钱包访问细节，将受害者的数字资产安全置于巨大的风险之中。

Silent Push的威胁情报总监Kasey Best表示：“这是首次确认朝鲜相关组织通过成立美国实体来获取行动合法性。”而此次行动的暴露，源于Silent Push发现这些虚假公司的数字基础设施与此前已知的Lazarus恶意软件存在关联。随后，FBI迅速采取行动，查封了Blocknovas的域名，对朝鲜网络行为者展开积极打击。

值得警惕的是，此次攻击带来的危害远不止经济损失。调查人员估计，数百名开发者成为攻击目标，部分受感染的开发者，其因恶意软件植入而获取的访问权限，可能已被升级利用，甚至被转交给其他与朝鲜政府相关的团队，用于潜在的间谍活动。

美国联邦调查局的一位高级官员在声明中强调：“我们的工作重点不仅在于惩戒朝鲜相关行为者，也针对任何协助他们实施此类计划的个人或组织。”事实上，美国和韩国情报机构认为，全球有数千名朝鲜IT工作者使用虚假身份在世界各地活动，他们通过网络犯罪获取资金，以支持朝鲜平壤的武器开发计划。2023年联合国的一份报告更是明确指出，朝鲜的网络犯罪收入直接为其核导弹计划提供资金支持 。

对于加密开发者和整个加密行业而言，此次事件无疑是一记沉重的警钟。在求职和日常工作中，开发者务必提高警惕，仔细核实招聘信息的真实性，避免轻易点击不明来源的文件。同时，行业也应加强安全防护措施，建立更完善的安全审查机制，共同抵御网络威胁，守护加密世界的安全与稳定。毕竟，在数字资产的世界里，一次小小的疏忽，都可能带来无法挽回的损失！ 

加入知识星球，可继续阅读

一、"全球高级持续威胁：网络世界的隐形战争"，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、"DeepSeek：APT攻击模拟的新利器"，为你带来APT攻击的新思路。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：警惕！朝鲜“ Lazarus”组织设局，加密领域开发者成狩猎目标