【AI反噬】伪AI工具入侵迪士尼，1.1TB核心数据惨遭打包泄露！

克雷默于2024年初在 GitHub 和其他开源平台上发布了一款伪装为 AI 图像生成器的恶意程序，并在多个社区进行推广。实际上，该程序是一种植入后门的恶意软件，用户一旦运行，攻击者即可远程控制其计算机，窃取其中保存的账户凭据、浏览器数据、以及密码管理器中的敏感信息。

该恶意程序的隐蔽性和“伪装为AI工具”的社工策略，使其具备极高的迷惑性，尤其对技术从业人员和企业员工具有高度诱导性。

这款恶意程序被迪士尼的一名员工——马修·范·安德尔（Matthew Van Andel）下载并执行。程序成功运行后，克雷默获取了该员工在1Password中的账户密码，并利用这些凭据登录迪士尼内部的Slack系统。

在掌握了Slack平台的访问权限后，克雷默从数千个私密频道中下载了总计约1.1TB的敏感数据，涵盖未公开项目、源代码、内部接口链接、日志文件等信息。根据司法部门公布的资料，这一入侵发生在2024年5月，造成了极大的信息外泄风险。

成功窃取数据后，克雷默通过邮件和 Discord 私信联系受害员工，冒充俄罗斯黑客组织“NullBulge”成员，威胁如果不合作将泄露其个人隐私与公司数据。

其威胁信息包含明确勒索意图，如：“要想确保这些信息不被公布，你必须配合我们”，以及“若你敢报警，我们将在毫无预警的情况下大规模公开数据”。

最终，在未收到回应的情况下，克雷默于7月12日将被盗数据发布至BreachForums论坛，并附言：“近1.1TiB的数据，近万条频道消息与文件已打包完毕，尽情查阅”。

在司法调查下，克雷默已于近期正式认罪，罪名包括非法入侵计算机系统及威胁破坏受保护设备。每项罪名最高可判处5年联邦监禁，总刑期可能达10年。

此外，克雷默还承认，除迪士尼员工外，还有两名用户下载了该恶意程序，其控制范围可能进一步扩大。目前FBI正在持续追查相关线索。

此事件再次提醒我们：勒索攻击从未远离，它们越来越善于借助社交工程、开源平台和“合法工具伪装”实施攻击。作为企业和安全从业者：

• 加强员工安全意识教育 是防范社工攻击的首要环节；

• 端点防护与行为分析 必须持续优化，防止受害者沦为“入口点”；

• 内部系统分权与日志审计 是降低数据泄露影响的关键机制；

• 对GitHub、开源平台工具的使用，需结合源代码审查与可信来源验证。

这起事件虽然并非典型的勒索加密攻击，但其在威胁、敲诈和数据泄露路径上的逻辑，与当前勒索团伙的“混合型”作战策略高度一致。它体现出廉价攻击工具与高价值目标之间的危险联系，是未来安全对抗中不可忽视的新战线。

• https://www.techtimes.com/articles/310215/20250506/disney-hacker-busted-after-ai-tool-scam-exposed11tb-data-stolen-massive-cyber-breach.htm?utm_source=chatgpt.com

• https://www.bleepingcomputer.com/news/security/hacker-nullbulge-pleads-guilty-to-stealing-disneys-slack-data/