Home 黑客 朝鲜:终极网络攻击?躲避性恶意软件和区块链的 "十字准星"。 由 Hamza Ahmed Oct 17, 2025 3 min read 朝鲜:终极网络攻击?躲避性恶意软件和区块链的 "十字准星"。 根据 Cisco Talos 和谷歌的报告,朝鲜著名组织 Chollima 和 UNC5342 正在使用新的分散式恶意软件(如 EtherHiding 和 BeaverTail/OtterCookie pair)。 根据 Cisco Talos 和 Google Threat Intelligence Group 的最新调查结果显示,与朝鲜有关联的威胁行为者正在加强他们的网络行动,并使用去中心化和规避性恶意软件工具。这些活动旨在通过复杂的招聘骗局窃取加密货币、渗透网络并逃避安全控制。恶意软件规避技术的演变Cisco Talos 研究人员发现了朝鲜组织 Famous Chollima 正在开展的一项活动,该活动使用了两种互补的恶意软件:BeaverTail 和 OtterCookie。这些程序传统上用于窃取凭据和数据外渗,但现在已发展出新的功能和更密切的交互。在最近涉及斯里兰卡一家机构的事件中,攻击者诱骗一名求职者安装伪装成技术评估的恶意代码。尽管该组织本身并非直接目标,但 Cisco Talos 分析师观察到了与 OtterCookie 相连的键盘记录和屏幕截图捕获模块。该模块隐蔽地记录按键和捕获桌面图像,并自动将其传输到远程命令服务器。这一观察结果凸显了与朝鲜结盟的威胁组织的持续演变,以及他们对社交工程技术的关注,从而对毫无戒心的目标造成威胁。区块链作为命令基础设施的应用Google 威胁情报组 (GTIG) 发现了与朝鲜有关联的行为者 UNC5342 的一次行动。该组织使用了一种名为 EtherHiding 的新型恶意软件。该工具将恶意 JavaScript 有效载荷隐藏在公共区块链上,将区块链转化为去中心化的命令和控制 (C2) 网络。利用 区块链,攻击者可以远程修改恶意软件的行为,而无需借助传统服务器。执法行动也因此变得更加困难。此外,GTIG 报告称,UNC5342 在名为 Contagious Interview 的社交工程活动中应用了 EtherHiding,Palo Alto Networks 之前已经发现了这一情况,这表明与朝鲜结盟的威胁行为者持续存在。目标受众:加密货币行业从业者据 Google 研究人员称,这些网络行动通常从针对加密货币和网络安全领域专业人士的欺诈性招聘广告开始。受害者会被邀请参加虚假的评估,在此期间他们会被要求下载包含恶意代码的文件。什么是 EtherHiding?这是一种新技术,攻击者将恶意有效载荷(如 JADESNOW 和 INVISIBLEFERRET 恶意软件)嵌入公共区块链(如 BNB 智能链和以太坊)上的智能合约中。https://t.co/AyKeSuPyWW pic.twitter.com/we4NV2PTu5- blackorbird (@blackorbird) 2025 年 10 月 16 日。 感染过程通常涉及多个恶意软件系列,包括 JadeSnow、BeaverTail 和 InvisibleFerret。这些工具可让攻击者高效地访问系统、窃取凭证和部署勒索软件。思科和谷歌发布了 "出错指标"(IOC),以帮助企业检测和应对与朝鲜有关的持续网络威胁。研究人员警告说,区块链和模块化恶意软件的整合可能会继续使全球网络安全防御工作复杂化。 阅读下一页 由 Hamza Ahmed Dec 1, 2025 利用 Yearn Finance:280 万 yETH 攻击 Yearn金融公司的YETH遭到了 "无限造币 "攻击,从平衡池中抽走了280万,并引发了YFI代币的异常市场反应。 黑客 由 Hamza Ahmed Nov 29, 2025 3200 万 Upbit 黑客:代币 Solana 将成为韩国市场上的明星! 黑客攻击侵吞了 3200 万 Solana 代币,导致韩国市场严重溢价,Upbit 暂停存取款。 黑客 Solana 由 Hamza Ahmed Nov 24, 2025 英国加密货币抢劫案:定罪与自我监管风险 在英国发生的一起抢劫 430 多万加密货币的案件让人们对自我保管的安全性和人为因素的风险产生了怀疑。 黑客 加密货币 由 Hamza Ahmed Nov 12, 2025 加密货币冲突:中国政府指责美国利用卢边公司的 127,000 BTC 比特币进行交易 中国指责华盛顿在 2020 年从卢边 "榨干 "了 127,000 BTC。研究人员将这一漏洞与密钥生成中的一个缺陷联系起来。 黑客 中国 美国
由 Hamza Ahmed Dec 1, 2025 利用 Yearn Finance:280 万 yETH 攻击 Yearn金融公司的YETH遭到了 "无限造币 "攻击,从平衡池中抽走了280万,并引发了YFI代币的异常市场反应。 黑客
由 Hamza Ahmed Nov 29, 2025 3200 万 Upbit 黑客:代币 Solana 将成为韩国市场上的明星! 黑客攻击侵吞了 3200 万 Solana 代币,导致韩国市场严重溢价,Upbit 暂停存取款。 黑客 Solana
由 Hamza Ahmed Nov 24, 2025 英国加密货币抢劫案:定罪与自我监管风险 在英国发生的一起抢劫 430 多万加密货币的案件让人们对自我保管的安全性和人为因素的风险产生了怀疑。 黑客 加密货币
由 Hamza Ahmed Nov 12, 2025 加密货币冲突:中国政府指责美国利用卢边公司的 127,000 BTC 比特币进行交易 中国指责华盛顿在 2020 年从卢边 "榨干 "了 127,000 BTC。研究人员将这一漏洞与密钥生成中的一个缺陷联系起来。 黑客 中国 美国
根据 Cisco Talos 和 Google Threat Intelligence Group 的最新调查结果显示,与朝鲜有关联的威胁行为者正在加强他们的网络行动,并使用去中心化和规避性恶意软件工具。
这些活动旨在通过复杂的招聘骗局窃取加密货币、渗透网络并逃避安全控制。
恶意软件规避技术的演变
Cisco Talos 研究人员发现了朝鲜组织 Famous Chollima 正在开展的一项活动,该活动使用了两种互补的恶意软件:BeaverTail 和 OtterCookie。
这些程序传统上用于窃取凭据和数据外渗,但现在已发展出新的功能和更密切的交互。
在最近涉及斯里兰卡一家机构的事件中,攻击者诱骗一名求职者安装伪装成技术评估的恶意代码。
尽管该组织本身并非直接目标,但 Cisco Talos 分析师观察到了与 OtterCookie 相连的键盘记录和屏幕截图捕获模块。该模块隐蔽地记录按键和捕获桌面图像,并自动将其传输到远程命令服务器。
这一观察结果凸显了与朝鲜结盟的威胁组织的持续演变,以及他们对社交工程技术的关注,从而对毫无戒心的目标造成威胁。
区块链作为命令基础设施的应用
Google 威胁情报组 (GTIG) 发现了与朝鲜有关联的行为者 UNC5342 的一次行动。该组织使用了一种名为 EtherHiding 的新型恶意软件。
该工具将恶意 JavaScript 有效载荷隐藏在公共区块链上,将区块链转化为去中心化的命令和控制 (C2) 网络。
利用 区块链,攻击者可以远程修改恶意软件的行为,而无需借助传统服务器。执法行动也因此变得更加困难。
此外,GTIG 报告称,UNC5342 在名为 Contagious Interview 的社交工程活动中应用了 EtherHiding,Palo Alto Networks 之前已经发现了这一情况,这表明与朝鲜结盟的威胁行为者持续存在。
目标受众:加密货币行业从业者
据 Google 研究人员称,这些网络行动通常从针对加密货币和网络安全领域专业人士的欺诈性招聘广告开始。
受害者会被邀请参加虚假的评估,在此期间他们会被要求下载包含恶意代码的文件。
感染过程通常涉及多个恶意软件系列,包括 JadeSnow、BeaverTail 和 InvisibleFerret。这些工具可让攻击者高效地访问系统、窃取凭证和部署勒索软件。
思科和谷歌发布了 "出错指标"(IOC),以帮助企业检测和应对与朝鲜有关的持续网络威胁。研究人员警告说,区块链和模块化恶意软件的整合可能会继续使全球网络安全防御工作复杂化。
阅读下一页
利用 Yearn Finance:280 万 yETH 攻击
Yearn金融公司的YETH遭到了 "无限造币 "攻击,从平衡池中抽走了280万,并引发了YFI代币的异常市场反应。
3200 万 Upbit 黑客:代币 Solana 将成为韩国市场上的明星!
黑客攻击侵吞了 3200 万 Solana 代币,导致韩国市场严重溢价,Upbit 暂停存取款。
英国加密货币抢劫案:定罪与自我监管风险
在英国发生的一起抢劫 430 多万加密货币的案件让人们对自我保管的安全性和人为因素的风险产生了怀疑。
加密货币冲突:中国政府指责美国利用卢边公司的 127,000 BTC 比特币进行交易
中国指责华盛顿在 2020 年从卢边 "榨干 "了 127,000 BTC。研究人员将这一漏洞与密钥生成中的一个缺陷联系起来。