朝鲜网络行动者已将其目标从美国公司扩展到欧盟和英国的区块链初创企业，伪装成远程开发人员，留下了一系列被泄露的数据和敲诈尝试。

在周二发布的报告中，谷歌的威胁情报小组（GTIG）透露，与朝鲜民主主义人民共和国（DPRK）相关的IT工作者已在美国以外扩大了运营，将自己嵌入到英国、德国、葡萄牙和塞尔维亚的加密项目中。

被泄露的项目包括区块链市场、AI网络应用程序，以及Solana和Anchor/Rust 智能合约的开发。

一个案例涉及使用Next.js和CosmosSDK构建Nodexa代币托管平台，其他案例包括使用MERN栈和Solana构建的区块链工作市场，以及使用Electron和Tailwind CSS开发的AI增强区块链工具。

“为了应对美国对这一威胁的高度关注，他们建立了一个全球虚假身份生态系统，以增强操作灵活性，”GTIG顾问Jamie Collier在报告中表示。

报告指出，一些工作者同时以12个虚假身份运作，使用贝尔格莱德大学的学位、来自斯洛伐克的虚假居留文件，以及在欧洲求职平台上导航的指导。

Collier表示，位于英国和美国的中介帮助这些行动者绕过身份检查，并通过TransferWise、Payoneer和加密货币接收付款，有效地隐藏了流回朝鲜政权的资金来源。

GTIG报告称，这些工作者正在为朝鲜政权创造收入，之前美国、日本和韩国的特使曾指责其利用海外IT专家，包括从事恶意网络活动的专家，来帮助资助其受制裁的武器计划。

“这使得雇佣DPRK IT工作者的组织面临间谍活动、数据盗窃和干扰的风险，”Collier警告道。

敲诈威胁

自2024年10月以来，GTIG观察到敲诈威胁激增，因为被裁员的DPRK开发人员开始以泄露源代码和专有文件的威胁来勒索前雇主。

GTIG指出，这种攻击性增加与“美国执法部门对DPRK IT工作者的加强行动，包括干扰和起诉”相吻合。

去年12月，美国财政部外国资产控制办公室（OFAC）制裁了两名中国国籍人士，因其通过与平壤政权相关的阿联酋前公司洗钱数字资产以资助朝鲜政府。

然后在1月，司法部起诉了两名朝鲜国籍人士，因其在2018年至2024年间运营了一项欺诈性IT工作计划，渗透了至少64家美国公司。

超越拉撒路集团

在3月，Paradigm的安全研究员Samczsun警告称，DPRK的网络战略远远超出了国家支持的拉撒路集团，该集团与历史上最大的一些加密黑客事件有关。

“DPRK黑客对我们的行业构成了日益增长的威胁，”Samczsun写道，概述了像TraderTraitor和AppleJeus这样的子群体，这些子群体专门从事社会工程、虚假工作机会和供应链攻击。

在2月，与拉撒路集团相关的黑客从加密交易所Bybit窃取了14亿美元，这些资金随后通过币混合器和DEX进行转移。

随着加密行业严重依赖远程人才和自带设备（BYOD）环境，GTIG警告称，许多初创企业缺乏适当的监控工具来检测此类威胁。

Collier表示，这正是关键所在——朝鲜正在利用“全球基础设施和支持网络的快速形成，这使他们能够继续进行操作。”

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。