財富雜誌記者：明知朝鮮黑客猖獗，我還是中招了

撰文：Ben Weiss，財富雜誌

編譯：Luffy，Foresight News

3 月下旬，我收到了《財富》雜誌 IT 管理員發來的一條令人不安的消息。「有一個進程正在暴露系統漏洞，」 他寫到，有人可能已經潛入了我的電腦。「我需要終止它。」我瞬間慌了。

據 IT 部門事後查看的日誌顯示，我在當天上午 11:04 下載的一個文件，具備鍵盤記錄、屏幕錄製、竊取密碼以及訪問我各類應用的能力。

我立刻合上筆記本電腦，衝出布魯克林的公寓，奔向最近的地鐵站。在等地鐵去公司的路上，我給編輯發消息：「我好像被朝鮮黑客釣魚了，笑死。」

我一直都在報道朝鮮相關新聞，也知道這個國家專門針對美國投資者。但我萬萬沒想到，這群臭名昭著的黑客會盯上我，還讓我親身體驗了一把他們的欺騙手段有多高深。

感覺像騙局

這個 「隱士王國」 多年來一直在不斷侵擾加密行業。由於受到制裁，朝鮮被全球金融體系拒之門外，朝鮮需要依靠國家支持的加密貨幣盜竊來維持運轉。

加密數據分析公司 Chainalysis 的數據顯示，僅 2025 年一年，與朝鮮有關黑客就竊取了價值 20 億美元的加密貨幣，比前一年增加了約 50%。

朝鮮已經形成了一套屢試不爽的誘騙套路，包括說服企業僱傭他們擔任 IT 員工，以及這次用來騙我的手段。

朝鮮黑客在 3 月中旬就佈下了陷阱。誘餌是一條來自某對沖基金投資者的 Telegram 消息，這款應用也是加密行業最常用的通訊工具。這位投資者我不便透露姓名，他曾是我報道中的匿名線人。

他問我要不要認識一個叫 Adam Swick 的人，此人曾是比特幣礦企 MARA Holdings 的首席戰略官。我回復說可以，他一向很友好、也很靠譜，隨後我被拉進了一個群聊。

他說，Swick 正在籌備成立一個新的數字資產財庫，「已經有一位潛在的大型種子投資人」。這個項目聽起來疑點重重，但我還是打算聽聽他要說什麼。

他在 Telegram 上約我通話。一週後，這位線人發給我一個看起來像是 Zoom 會議的鏈接。我點了進去。

啟動的程序界面看著和我每天用的 Zoom 差不多，但設計細節有點不對勁，而且音頻完全沒聲音。系統提示我需要更新軟件來修復音頻問題，與此同時，Swick 發來消息：「看起來你那邊 Zoom 出問題了。」我點擊下載了更新包。

當我發現瀏覽器裡的鏈接和 Telegram 發來的不一致時，瞬間警覺起來。我提議把會議換到 Google Meet。「這讓我感覺像個騙局，」 我在群裡對 Swick 和那位線人說。

Swick 還在堅持：「別擔心，我在我的電腦上剛試過沒問題。」

我沒有在 Mac 上運行那個腳本，果斷退出了 Zoom 會議。「想聊的話就用 Google Meet 吧。」 我在 Telegram 上回複道。我的線人立刻把我踢出了群聊。

病毒式連環入侵

我衝出公寓趕往 IT 部門的路上，給資深安全研究員 Taylor Monahan 發了消息。她是 SEAL 911 組織成員，這是一個幫助加密貨幣被盜受害者的志願者團體。我把下載的腳本和視頻會議鏈接發給了她。

「這是朝鮮黑客乾的。」 她幾秒鐘後就回復了我。

如果我當時運行了那個腳本，黑客就會偷走我的密碼、Telegram 賬號，以及我持有的所有加密貨幣。幸運的是，我只持有少量比特幣和幾種其他加密資產。

黑客攻擊的特性決定了很難 100% 確定幕後黑手，但在我這次險些中招的事件裡，Monahan 告訴我，鏈接、腳本，甚至假冒 Swick 的賬號，所有線索都指向朝鮮。調查人員會結合區塊鏈分析等多重證據，將事件與朝鮮關聯起來。另外兩位長期追蹤朝鮮黑客的安全研究員，在我把腳本和鏈接發給他們後，也證實了這一判斷。

「替我跟他問個好哈哈。」 Monahan 說，指的是盯上我的那個朝鮮黑客。

Monahan 和其他安全研究員已經處理過數百起加密行業內的虛假視頻會議釣魚案件。這套套路模式化，但非常有效。

黑客會先控制一個真實用戶的 Telegram 賬號，然後聯繫其通訊錄裡的人。受害者被要求加入視頻會議， 但通話中音頻總是無法正常工作。然後受害者被誘導運行一個 「修復音頻」 的更新程序。一旦運行腳本，黑客就能獲取受害者的加密資產、密碼，以及 Telegram 賬號。

事實上，谷歌在週三發佈的一份報告中稱，針對我的這夥朝鮮黑客，同時也在策劃一場針對廣大軟件開發人員的攻擊。

我不是開著蘭博基尼的比特幣富豪，但 Monahan 告訴我，朝鮮黑客並不只針對有錢人。她發現，越來越多的加密行業記者成為目標，很可能是因為記者的 Telegram 裡有大量人脈。這些聯繫人裡，大概率藏著不少加密貨幣富豪。

就像病毒劫持健康細胞一樣，黑客會攻陷這些賬號，再去攻擊賬號裡的聯繫人。我就是這麼差點中招的。我以為自己在和熟人聊天，因此放鬆了警惕。

「假冒的我」

我徹底格式化電腦、修改所有密碼，並再三感謝 IT 管理員後，最終給那位線人打了電話。不出所料，他的 Telegram 賬號早在 3 月初就被盜了。

「我 Telegram 裡有很多聯繫人，手機和電腦裡都沒存，」 他說。「但更讓我難受的是，有人在冒充我，用我的身份去騙人，這種被侵犯的感覺太糟了。」

而且，儘管他在三週內多次聯繫 Telegram 尋求幫助，卻一直沒有得到回應。Telegram 一位發言人在聲明中告訴我：「雖然 Telegram 會盡一切努力保護賬號，但任何平臺都無法阻止用戶被騙。」 他補充說，在我聯繫他們後，平臺已凍結了這位對沖基金投資者的賬號。

我也聯繫了真正的 Adam Swick。從 2 月初開始，就有人在 Telegram 上冒充他，這位前 MARA 高管收到無數短信和電話，質問他為什麼要約會議。他每次都只能道歉。

「但有些人會反問我，『兄弟，你道什麼歉？』」 Swick 說。「我就只能說：『我不知道，我在替假的我道歉吧…… 真的很抱歉發生這種事。』」

Swick 不知道黑客為什麼要冒充他，而我的線人也不清楚自己的 Telegram 是怎麼被盜的。但在通話快結束時，我們倆突然找到了可能的答案。

在這位投資者的 Telegram 被盜前，最後聯繫的人裡就有一個假冒的 Swick。「我跟他開了個 Zoom 會，他那邊音頻連不上，」 我的線人說。「我隱約記得當時下載了什麼東西。」

換句話說，我的線人很可能就是被同一夥黑客盯上了。在我們意識到他的電腦可能也已被感染後，這位對沖基金投資者立刻掛了電話，格式化了自己的電腦。

我在 Telegram 上給假冒的 Adam Swick 發了條消息：「這個賬號是由朝鮮黑客控制嗎？」

至今，我還沒有收到任何回覆。