TraderTraitor 是针对加密货币行业最老练的朝鲜黑客,并对 Axie Infinity 和 Rain.com 等发起了黑客攻击。TraderTraitor 几乎只针对拥有大量储备的交易所和其他公司,并且不会对其目标部署零日漏洞,而是使用高度复杂的鱼叉式网络钓鱼技术对受害者进行攻击。在 Axie Infinity 黑客攻击案例中,TraderTraitor 通过 LinkedIn 联系了一位高级工程师,并成功说服他们接受一系列面试,然后发送了一份「提议」,从而投递了恶意软件。然后,在 WazirX 黑客攻击中,TraderTraitor 特工破坏了签名管道中一个尚未确定的组件,然后通过反复存款和取款耗尽交易所的热钱包,导致 WazirX 工程师进行从冷钱包到热钱包的重新平衡。当 WazirX 工程师试图签署交易以转移资金时,他们却被诱骗签署了一项交易,将冷钱包的控制权移交给 TraderTraitor。这与 2025 年 2 月针对 Bybit 的攻击非常相似,当时 TraderTraitor 首先通过社会工程攻击破坏了 Safe{Wallet} 基础设施,然后将恶意 JavaScript 部署到专门针对 Bybit 冷钱包的 Safe Wallet 前端。当 Bybit 去重新平衡他们的钱包时,恶意代码被激活,反而导致 Bybit 工程师签署一项交易,将冷钱包的控制权移交给 TraderTraitor。
保持安全朝鲜已经展示了对付对手部署零日漏洞的能力,但目前还没有朝鲜对加密货币行业部署零日漏洞的记录或已知事件。因此,对于几乎所有朝鲜黑客的威胁来说,典型的安全建议都适用。
对于个人来说,要运用常识,警惕社交工程手段。例如,如果有人声称拥有一些高度机密的信息,并愿意与您分享,请谨慎行事。或者,如果有人对您施加时间压力,要求您下载并运行某些软件,请考虑他们是否试图让您陷入无法进行逻辑思考的境地。
对于组织而言,尽可能应用最小特权原则。尽量减少有权访问敏感系统的人数,并确保他们使用密码管理器和 2FA。保持个人设备和工作设备分开,并在工作设备上安装移动设备管理 (MDM) 和端点检测与响应 (EDR) 软件,以确保黑客入侵前的安全性和黑客入侵后的可见性。
不幸的是,对于大型交易所或其他高价值目标,TraderTraitor 即使不需要零日漏洞也能超出预期的进行破坏。因此,必须采取额外的预防措施,确保不存在单点故障,以免一次入侵就导致资金全部损失。
然而,即使一切都失败了,仍然还有希望。联邦调查局有一个专门跟踪和防止朝鲜入侵的部门,多年来一直在进行受害者通知,最近我很高兴能帮助该部门的特工与潜在的朝鲜目标建立联系。因此,为了做好最坏的准备,请确保您有公开的联系信息,或者您与生态系统中的足够多的人有联系(例如 SEAL 911),这样穿越社交图谱的消息就能以最快速度到达您手中。