被竄改筆記型電腦的秘密錄像揭露北韓間諜如何悄悄避開你的安全團隊

北韓行動人員在現場被安全研究人員以誘餌「開發者筆記型電腦」誘捕，並被攝影機全程錄下，揭示與Lazarus有關的團隊如何試圖利用合法的AI招聘工具和雲端服務，混入美國加密貨幣招聘流程。

據報導，這起國家支持的網路犯罪進化過程由BCA LTD、NorthScan以及惡意軟體分析平台ANY.RUN的研究人員即時捕捉。

捕捉北韓攻擊者

Hacker News分享了這次協同誘捕行動的過程，團隊部署了一個「蜜罐」——偽裝成合法開發者筆記型電腦的監控環境，誘使Lazarus Group上鉤。

拍攝到的畫面為業界提供了迄今為止最清晰的視角，展示北韓單位，特別是著名的Chollima部門，如何透過被目標公司的人力資源部門聘用，輕鬆繞過傳統防火牆。

行動開始於研究人員創建一個開發者身份，並接受了一位名為「Aaron」的招聘人員的面試邀請。招聘人員並未部署標準的惡意軟體，而是引導目標進行Web3領域常見的遠端就業安排。

當研究人員開放「筆記型電腦」存取權限時，實際上這是一台高度監控、模擬美國工作站的虛擬機，行動人員並未嘗試利用程式碼漏洞。

他們反而專注於建立自己作為模範員工的形象。

建立信任

進入受控環境後，行動人員展現出優化以融入而非入侵的工作流程。

他們利用合法的自動化求職軟體，包括Simplify Copilot和AiApply，大規模生成精緻的面試回覆並填寫申請表。

這種對西方生產力工具的運用凸顯出令人不安的升級，顯示國家行動者正利用原本用於提升企業招聘效率的AI技術來擊敗這些系統。

調查顯示，攻擊者通過Astrill VPN路由流量以隱藏其位置，並使用瀏覽器服務處理與被盜身份相關的雙重驗證碼。

他們的最終目標不是立即破壞，而是長期存取。行動人員透過PowerShell設定Google Remote Desktop並設置固定PIN，確保即使主機試圖撤銷權限，他們仍能控制該機器。

因此，他們的指令多為管理性質，運行系統診斷以驗證硬體。

基本上，他們並未立即嘗試入侵錢包。

相反，北韓人試圖建立自己作為受信任內部人員的地位，為存取內部儲存庫和雲端儀表板鋪路。

十億美元的收入來源

這起事件只是更大規模產業體系的一部分，該體系已將就業詐騙變成受制裁政權的主要收入來源。

Multilateral Sanctions Monitoring Team最近估計，與平壤有關的團體在2024年至2025年9月間竊取了約28.3億美元的數位資產。

這一數字約佔北韓外匯收入的三分之一，顯示網路竊盜已成為國家經濟戰略。

這種「人為層面」攻擊向量的高效性在2025年2月Bybit交易所遭駭事件中被殘酷證明。

在該事件中，被歸屬於TraderTraitor集團的攻擊者利用被盜內部憑證，將外部轉帳偽裝成內部資產移動，最終控制了一個冷錢包智能合約。

合規危機

向社交工程轉變為數位資產產業帶來嚴重的責任危機。

今年早些時候，安全公司如Huntress和Silent Push記錄了包括BlockNovas和SoftGlide在內的空殼公司網絡，這些公司擁有有效的美國公司註冊和可信的LinkedIn檔案。

這些實體成功誘使開發者以技術評估為名安裝惡意腳本。

對於合規官與首席資訊安全官而言，挑戰已經變質。傳統的Know Your Customer（KYC）規範聚焦於客戶，但Lazarus的工作流程要求嚴格的「Know Your Employee」標準。

美國司法部已開始打擊這些IT詐騙，查封了與此相關的774萬美元資金，但偵測延遲依然嚴重。

正如BCA LTD誘捕行動所示，唯一能抓住這些行動者的方法，或許就是從被動防禦轉向主動欺敵，創建受控環境，迫使威脅行動者在獲得金庫鑰匙前暴露其技術手法。

本文最早發佈於CryptoSlate：Secret footage from a rigged laptop exposes how North Korean spies are slipping past your security team。