朝鮮黑客玩出新花樣：用區塊鏈當遠控服務器，Crypto從業者被釣魚

谷歌和思科安全團隊最近發現了一個有點狠的事兒——朝鮮黑客集團在用區塊鏈來隱藏惡意代碼，本質上把公鏈當成了去中心化的C&C服務器。

黑客的新套路：假招聘→惡意代碼→鏈上遙控

黑客集團UNC5342開發了一款叫EtherHiding的惡意軟件，專門把JavaScript payload塞到公鏈上。這樣做有兩個好處：一是可以遠程更改惡意軟件行爲，不用傳統服務器；二是執法部門很難追蹤和關閉。

更缺德的是，他們的目標是Crypto和網安從業者。套路是發布假的技術評估職位→邀請候選人參加"技術考試"→讓你下載含有惡意代碼的文件。一旦中招，BeaverTail和OtterCookie這兩款木馬就會開始：

• 記錄你的每一次敲鍵盤（包括私鑰、密碼）
• 截屏你的屏幕
• 把數據實時傳到黑客的服務器

爲啥針對Crypto從業者？

很簡單——這羣人要麼有錢包、要麼掌握系統權限、要麼兩者都有。一旦攻破他們的機器，黑客可以：

1. 直接偷幣 — 訪問錢包、交易所帳戶
2. 長期潛伏 — 植入勒索軟體、做間諜活動
3. 供應鏈攻擊 — 從從業者的工作電腦入侵他們服務的項目/公司

警惕信號

• 不認識的HR突然給你DM，邀請高薪職位
• 要求你下載"技術評估工具"或"代碼編輯器"
• 面試流程超快或異常簡單

Cisco和谷歌已經公布了IOC（攻擊指標），安全團隊可以用這些特徵值來檢測威脅。但真正的防線還是在每個人手裏——一個不小心的下載，就能讓黑客進門。

這波操作也說明了一個趨勢：區塊鏈不只是被用來炒幣，黑客也在挖掘它的特性。去中心化的特性讓他們的命令控制網路更難被摧毀。