來自北韓的網軍攻勢近期呈現多線並進的態勢,攻擊手法不僅從單點突破轉向更隱蔽的軟體供應鏈滲透,在加密貨幣領域的行動也愈發猖狂。根據最新資安情資顯示,朝鮮的駭客組織近期在知名開源套件庫 NPM 上釋出近 200 個惡意套件,試圖感染開發者環境。與此同時,南韓加密貨幣交易所 Upbit 也驚傳遭竊,損失金額高達數千萬美元。這一連串行動顯示,北韓的網路攻擊能力已達到全新層次,其背後的戰略意圖與技術能力,值得我們高度警惕。
惡意套件偽裝開發者常用工具
根據 The Hacker News 指出,北韓駭客組織近期發動代號為「Contagious Interview」(又稱 ClickFake Interview)的攻擊行動,在 npm 套件庫中部署了多達 197 個惡意套件。這些套件被設計成開發者常用的工具,例如 bcryptjs-node、cross-sessions、json-oauth 與 node-tailwind 等,企圖讓開發人員在不經意間下載使用。
這些駭客甚至還會偽裝成招聘 (fake-job offers / fake interviews) 的方式,在專業社群 (例如開發者社群) 接觸目標,誘導對方安裝惡意 npm 套件。
資安專家分析,這些惡意套件一旦被安裝,便會釋放名為 OtterCookie 的惡意軟體 (更新版)。該惡意程式具備高度隱蔽性,能偵測並閃避沙箱(Sandbox)與虛擬機環境,隨後與駭客控制的 C2 伺服器(例如 tetrismic.vercel.app )建立連線,進一步下載後續攻擊用的惡意程式。這類供應鏈攻擊不僅威脅開發者個人的電腦安全,更可能導致企業內部的程式碼庫遭到汙染,讓駭客長驅直入企業核心系統,可能導致商業機密、用戶資料被竊取。
加密貨幣交易所成北韓提款機
在供應鏈攻擊之外,直接掠奪資金仍是北韓駭客的主要目標。韓國經濟日報(KED Global)報導指出,南韓最大的加密貨幣交易所 Upbit 近期發生重大資安事故,造成約 3000 萬美元(約合新台幣 9.7 億元)的加密貨幣遭竊。南韓當局調查後認定,此案幕後黑手極即為惡名昭彰的北韓駭客組織 Lazarus Group。
這起攻擊發生在韓國網路大廠 Naver 收購 Upbit 營運商 Dunamu 的敏感時刻,顯示駭客對於目標企業的商業動態掌握極為精確。這並非單一事件,而是北韓長期透過數位資產竊盜來規避國際制裁、籌措資金的戰略一環。
北韓網軍技術與規模雙重進化
美國智庫保衛民主基金會(FDD)的分析進一步證實了此趨勢,指出北韓的網路犯罪威脅在規模與技術複雜度上近年有顯著的成長。FDD 引述美國財政部資料表示,過去三年間,北韓駭客已竊取超過 30 億美元的資金,這些不法所得最終都流向了平壤當局,用於支持其軍事擴張與飛彈計畫。
值得注意的是,北韓的攻擊手法已不再侷限於傳統駭客入侵。報告指出,北韓正大量派遣 IT 人員偽造身分,透過 AI Deepfake 技術通過面試,混入全球科技大廠長期遠端工作。這些「幽靈員工」不僅將薪資匯回北韓,更可能利用職務之便進行內部破壞或竊取機密資料。聯合國報告更警告,北韓網軍的技術能力正快速追趕中國與俄羅斯等網路強權。
面對此一嚴峻情勢,CyberQ 建議各家公司與組織,應該加強資安防護,儘量落實零信任架構(Zero Trust),並對軟體供應鏈進行嚴格審查。
開發團隊在引用開源套件時,務必透過自動化工具檢測相依性風險,避免讓企業成為駭客供應鏈攻擊的跳板。此外,針對遠端工作的 IT 人員身分查核也應更加嚴謹,以防範內部威脅。以及委外廠商的資安稽核、特權帳號管理、身分驗證等細節都要再盤點。
本文題圖 Google Gemini AI 生成
