北韓加密貨幣駭客被假筆記型電腦當場抓獲

北韓特工在安全研究人員將他們誘騙進入一台設有陷阱的「開發者筆記型電腦」後，被現場攝影機拍攝到，記錄了與拉撒路集團有關的團隊如何利用合法的 AI 招聘工具和雲端服務，試圖融入美國加密貨幣工作管道。

據報導，這種國家支持的網路犯罪演變被 BCA LTD、NorthScan 和惡意軟體分析平台 ANY.RUN 的研究人員即時捕捉到。

抓獲北韓攻擊者

Hacker News 分享了在一次協調的誘捕行動中，團隊如何部署了一個「蜜罐」，這是一個偽裝成合法開發者筆記型電腦的監控環境，用來引誘拉撒路集團。

所獲得的影片為業界提供了迄今最清晰的視角，展示北韓單位，特別是著名的千里馬部門，如何通過簡單地被目標的人力資源部門聘用來繞過傳統防火牆。

行動始於研究人員創建了一個開發者角色，並接受了一位名為「Aaron」的招聘人員別名的面試請求。招聘人員沒有部署標準的惡意軟體，而是引導目標進入 Web3 領域常見的遠程工作安排。

當研究人員授予「筆記型電腦」訪問權限時，這實際上是一台經過嚴密監控的虛擬機器，設計用來模仿美國工作站，特工們並沒有嘗試利用代碼漏洞。

相反，他們專注於建立自己作為看似模範員工的存在。

建立信任

一旦進入受控環境，特工們展示了一個優化的工作流程，目的是融入而非闖入。

他們利用合法的工作自動化軟體，包括 Simplify Copilot 和 AiApply，大規模生成精心製作的面試回應並填寫申請表格。

這種西方生產力工具的使用突顯了一個令人不安的升級，表明國家行為者正在利用那些旨在簡化企業招聘的 AI 技術來擊敗它們。

調查揭示，攻擊者通過 Astrill VPN 路由他們的流量來隱藏位置，並使用基於瀏覽器的服務處理與被盜身份相關的雙因素認證碼。

最終目標不是立即破壞，而是長期訪問。特工們通過 PowerShell 配置了 Google Remote Desktop，設置了固定的 PIN 碼，確保即使主機試圖撤銷權限，他們仍能保持對機器的控制。

因此，他們的命令是管理性的，運行系統診斷來驗證硬體。

本質上，他們並不是試圖立即破解錢包。

相反，北韓人尋求將自己建立為受信任的內部人員，為自己定位以訪問內部存儲庫和雲端儀表板。

十億美元的收入來源

這一事件是更大型產業複合體的一部分，該複合體已將就業詐騙轉變為受制裁政權的主要收入來源。

多邊制裁監測小組最近估計，與平壤有關的團體在 2024 年至 2025 年 9 月期間竊取了約 28.3 億美元的數位資產。

這一數字約佔北韓外匯收入的三分之一，表明網路盜竊已成為一種主權經濟戰略。

這種「人層」攻擊向量的有效性在 2025 年 2 月 Bybit 交易所遭到入侵時得到了毀滅性的證明。

在那次事件中，歸因於 TraderTraitor 集團的攻擊者使用被盜的內部憑證將外部轉賬偽裝成內部資產移動，最終獲得了冷錢包智能合約的控制權。

合規危機

向社會工程學的轉變為數位資產行業創造了嚴重的責任危機。

今年早些時候，Huntress 和 Silent Push 等安全公司記錄了一些前台公司的網絡，包括 BlockNovas 和 SoftGlide，這些公司擁有有效的美國公司註冊和可信的 LinkedIn 資料。

這些實體成功地誘導開發人員在技術評估的幌子下安裝惡意腳本。

對於合規官員和首席信息安全官來說，挑戰已經發生變異。傳統的了解你的客戶（KYC）協議專注於客戶，但拉撒路工作流程需要嚴格的「了解你的員工」標準。

司法部已經開始打擊，查獲了與這些 IT 計劃相關的 774 萬美元，但檢測滯後仍然很高。

正如 BCA LTD 誘捕行動所示，捕獲這些行為者的唯一方法可能是從被動防禦轉向主動欺騙，創建受控環境，迫使威脅行為者在獲得財政鑰匙之前暴露他們的手法。