安全機構:疑似朝鮮黑客組織協同攻擊加密貨幣企業竊取密鑰與雲資產
攻擊事件概述
安全研究機構 Ctrl-Alt-Intel 披露,一組疑似與朝鮮有關的黑客組織,針對質押平臺、交易所軟件供應商及加密交易所發起攻擊。攻擊者利用 React2Shell 漏洞(CVE-2025-55182)及已獲取的 AWS 訪問憑證入侵雲環境,枚舉 S3、EC2、RDS、EKS、ECR 等資源,並從 Secrets Manager、Terraform 文件、Kubernetes 配置及 Docker 容器中提取密鑰和憑證。
攻擊基礎設施與技術細節
研究人員指出,攻擊者下載了 5 個 Docker 鏡像並竊取源代碼,其中包括 ChainUp 客戶相關軟件組件。攻擊基礎設施涉及韓國服務器 64.176.226.36 及域名 itemnania.com。
歸因分析與置信度
報告稱該活動與朝鮮相關攻擊特徵一致,但歸因置信度為中等。AWS 憑證來源未明確,目前尚無直接證據確認其與朝鮮政府或特定組織的直接關聯。
相關背景與類似事件
- Bybit 15 億美元被盜案:2025 年 2 月,加密貨幣交易所 Bybit 遭遇攻擊,其 Safe 多籤錢包中近 15 億美元資金被朝鮮黑客組織 Lazarus 洗劫一空,該事件被網絡安全公司 Elliptic 和 Arkham Intelligence 確認。
- 朝鮮黑客組織 UNC4899:該組織曾多次針對海外虛擬貨幣平臺實施攻擊,2023 年已竊取數百萬美元加密貨幣,近年持續通過虛假職位邀約滲透雲系統。
- AI 與虛假會議攻擊:與朝鮮相關的黑客組織正利用 AI 生成的深度偽造視頻和虛假 Zoom 會議,對加密貨幣及金融科技公司發起更具針對性的網絡攻擊。