史上最大規模盜幣紀錄

今年 2 月，北韓駭客團體「拉撒路集團」（Lazarus Group）以驚人手法從加密貨幣交易所 Bybit 竊取至少 14 億美元，創下加密貨幣史上最大單一盜竊紀錄，並隨後將資金轉入混幣器。

Paradigm 研究合夥人 Samczsun 在其最新發布的文章中表示，他實時觀察到這次盜竊，並與 Bybit 合作確認了未經授權的訪問。Samczsun 指出，他當時正與 SEAL 911 合作，這是一個隸屬於非營利組織 Security Alliance 的緊急應變小組，致力於保護去中心化系統的安全。但這次攻擊並非僅關乎拉撒路集團，北韓的網路攻勢遠比外界想像的更為複雜。

北韓駭客生態系統揭秘

Samczsun 指出，外界對北韓駭客行動的「分類與命名」存在誤解。雖然「拉撒路集團」是媒體慣用的通俗稱呼，但要嚴謹描述朝鮮民主主義人民共和國（DPRK）的網路進攻行動，需要更精確的區分。北韓的駭客生態系統由總偵察局（Reconnaissance General Bureau, RGB）統領，下設多個獨立團體，包括AppleJeus、APT38、DangerousPassword 和 TraderTraitor，各有不同的目標和技術特長。

其中，TraderTraitor 被認為是針對加密貨幣行業最老練的北韓駭客組織，專攻擁有大量儲備的交易所。他們使用高級技術，例如通過假工作機會入侵 Axie Infinity，或操控印度交易所 WazirX。AppleJeus 則擅長供應鏈攻擊，例如 2023 年的 3CX 攻擊，可能影響了 1,200 萬用戶。DangerousPassword 則採取較低端的社交工程手段，通過釣魚郵件或 Telegram 等平台的惡意訊息發動攻擊。APT38 則於 2016 年從拉撒路集團分支出來，最初針對傳統銀行，後轉向加密貨幣平台。

此外，美國財政部海外資產控制辦公室（OFAC）於 2018 年首次提及「北韓 IT 工人」，2023 年被研究人員識別為「Contagious Interview」和「Wagemole」。這些團體通過偽裝成招聘者或應聘者滲透目標公司。

仍有希望：防禦建議

儘管北韓展現了部署「零日攻擊」（zero-day attack）的能力，但 Samczsun 指出，目前「尚未有記錄或已知案例」顯示他們直接針對加密貨幣行業使用此類攻擊。零日攻擊是指駭客利用軟體、系統或硬體中尚未被發現或修補的安全漏洞（稱為「零日漏洞」）發動的攻擊。

他建議加密貨幣公司採取基本安全措施，例如最小權限訪問、雙重認證和設備隔離。若預防措施失效，可聯繫 SEAL 911 或 FBI 的北韓專案小組尋求協助。Samczsun 強調：

「北韓駭客對我們行業的威脅日益增長，我們無法擊敗一個不了解或不認識的敵人。」

他呼籲業界加深對北韓駭客運作模式的理解，並提升防禦能力。