朝鲜黑客利用AI社会工程攻击手段袭击Zerion

朝鲜黑客利用AI社会工程攻击手段袭击Zerion - Blockchain.News

加密货币钱包提供商Zerion周三披露，与朝鲜有关联的黑客利用AI增强的社会工程策略，从公司热钱包中窃取了约10万美元——这是两周内第二起针对加密货币公司的朝鲜关联攻击。

Zerion在事后分析报告中确认，用户资金未受影响。在发现攻击者已获取团队成员的登录会话、凭证和私钥后，公司主动禁用了其网页应用程序作为预防措施。

人为因素已成为攻击面

此次入侵事件延续了一种令人不安的熟悉模式。4月1日，Drift Protocol损失了2.85亿美元，调查人员后来追溯发现这是一次始于2025年秋季、历时六个月的朝鲜行动。两次攻击都完全绕过了智能合约安全措施，转而针对员工下手。

"这一事件表明，AI正在改变网络威胁的运作方式，"Zerion表示。

安全联盟(SEAL)确认此次攻击与他们一直追踪的策略相吻合。在2月至4月期间，SEAL封锁了164个与UNC1069相关的域名，UNC1069是一个朝鲜黑客组织，他们在Telegram、LinkedIn和Slack上开展所谓的"长达数周的低压社会工程活动"。

该组织的方法论依赖于耐心。攻击者冒充已知联系人或可信品牌，有时利用对先前被入侵账户的访问权限，在数周内建立信任后再发动攻击。

谷歌旗下的Mandiant网络安全部门早在2月就记录了UNC1069使用虚假Zoom会议的行为，并指出该组织"在社会工程阶段已知使用AI工具编辑图像或视频"。这意味着：深度伪造和AI生成的内容现已成为国家支持的加密货币盗窃行动的标准工具。

MetaMask安全研究员Taylor Monahan本月早些时候警告称，朝鲜IT工作者至少在过去七年里一直在渗透加密货币公司和DeFi项目。他们不仅仅是从外部进行黑客攻击——他们正在被雇用进入这些公司。

"朝鲜社会工程技术的演进，加上AI日益普及使这些方法得以完善，意味着威胁已远远超出交易所范围，"区块链安全公司Elliptic指出。"个人开发者、项目贡献者以及任何能够访问加密资产基础设施的人都是潜在目标。"

朝鲜的加密货币盗窃行动已发展成为该政权的主要收入来源之一。Lazarus Group——朝鲜的主要黑客组织——与2022年6.2亿美元的Ronin Network黑客攻击、1亿美元的Harmony跨链桥攻击，以及2025年2月创纪录的15亿美元Bybit盗窃案均有关联。

Zerion此次入侵事件虽然金额相对较小，仅10万美元，但表明没有任何目标是微不足道的。对行业而言，真正令人担忧的不是金额——而是攻击的复杂程度。当AI驱动的社会工程能够攻破资金充足的加密货币公司的内部凭证时，建立在代码审计和漏洞赏金基础上的安全模型开始显得不够完善。

加密货币公司应该预期这类攻击会加速增长。SEAL在两个月内封锁了164个域名，这表明这是一个工业规模的行动，而使这些攻击活动更具欺骗性的AI工具只会越来越强大。

Image source: Shutterstock