1 月 22 日,公开信息显示,在 2025 年从加密货币市场窃取超过 20 亿美元后,朝鲜相关黑客组织再次发起大规模攻击行动。此次行动由被称为 PurpleBravo 的黑客组织主导,其攻击重点转向人工智能、加密货币及金融服务相关企业。
监测显示,攻击者对超过 3100 个与上述行业相关的互联网地址发起了渗透尝试,目前已确认有来自南亚、北美、欧洲、中东及中美洲的至少 20 家组织受到影响。
“技术面试”成为主要攻击入口
与传统钓鱼攻击不同,此次行动大量利用虚假招聘作为社会工程学手段。攻击者冒充招聘人员或技术开发者,与求职者建立长期沟通关系,并在“技术面试”阶段诱导其执行特定任务。
这些任务通常包括审查代码、克隆代码仓库或完成看似正常的编程作业。一旦目标在企业设备上执行相关操作,恶意代码便会被植入系统,从而为攻击者打开持续控制的入口。
定制化恶意工具与身份伪装
研究人员发现,该组织在攻击过程中使用了多种定制化工具。其中,两种远程访问木马 —— PylangGhost 和 GolangGhost —— 被用于窃取浏览器凭证及系统敏感信息。同时,攻击者还通过伪造乌克兰身份进行掩饰,以降低受害者警惕。
更值得关注的是,攻击者开发了被“武器化”的 Microsoft Visual Studio Code,并通过恶意 Git 存储库分发。一旦开发人员在日常工作中使用相关工具,后门程序便会在不易察觉的情况下长期潜伏。
对企业安全边界的现实挑战
此次事件显示,针对加密与高技术行业的攻击,正从单纯的链上盗窃延伸至企业内部系统与人员流程。开发环境、招聘流程以及开源工具链,均可能成为新的攻击面。
在数字资产相关企业中,一旦内部系统被控制,不仅可能导致核心代码或客户数据泄露,也可能进一步引发链上资金风险与合规问题。
安全与合规能力的重要性提升
随着攻击方式愈发隐蔽,单纯依赖传统网络防护已难以覆盖全部风险场景。对企业而言,结合内部安全管理与链上行为监测,逐步建立对异常资金流向和关联地址的识别能力,正成为防范系统性风险的重要一环。
在行业实践中,类似 Trustformer KYT 的链上风险分析体系,更多被用于补充企业在安全事件发生后的溯源、识别与风险评估,帮助从链上维度理解潜在影响。随着威胁形态不断演进,这类能力的重要性也在持续显现。