朝鲜黑客伪造Zoom会议窃取加密资产，累计损失已超3亿美元

网络安全机构披露，朝鲜网络犯罪分子正通过“假 Zoom / 假 Teams 会议”的社会工程攻击，大规模窃取加密货币钱包资产，累计损失已超过 3 亿美元。安全公司 Security Alliance（SEAL）表示，目前几乎每天都能追踪到多起相关攻击事件，加密行业从业者和活跃用户已成为重点目标。

该攻击手法最早由 MetaMask 安全研究员 Taylor Monahan 披露。她指出，朝鲜黑客通过高度拟真的线上会议场景，持续诱骗受害者安装恶意软件，从而直接获取私钥、密码及内部安全信息，并迅速清空加密钱包。

从作案流程来看，攻击通常始于 Telegram 群组。黑客会冒充受害者“认识的人”，向其联系人群发消息，并通过 Calendly 等常见工具发送 Zoom 会议邀请。会议开始后，受害者能看到“熟人”和“团队成员”的视频画面，但实际上这些画面是预先录制的真实视频，而非简单的深度伪造。

在通话过程中，黑客会以“音频异常”“会议不清晰”为由，引导受害者下载所谓的补丁文件或 SDK 更新包。该文件实为恶意程序，通常是远程访问木马（RAT）。一旦安装，攻击者即可远程控制设备，窃取登录凭证、私钥信息，并对加密货币钱包实施快速转移。

安全专家指出，这标志着朝鲜黑客在加密犯罪中的策略升级。此前，包括臭名昭著的拉撒路集团在内的黑客组织，更多依赖交易所攻击、钓鱼网站或假招聘渗透。近期，他们则明显转向更高成功率的“高信任度社交工程攻击”。

就在不久前，拉撒路集团还被指策划了针对韩国最大加密货币交易所的攻击，造成约 3060 万美元损失。多方数据显示，全球加密货币盗窃规模预计在 2025 年中期达到 21.7 亿美元，个人钱包正成为最脆弱的环节。

业内人士提醒，如在视频会议中被要求下载补丁或工具，应立即中断会议、断开网络并关闭设备电源，同时对钱包资产进行转移与安全检查，以降低潜在损失风险。