Edgen Crypto·Oct 29 2025, 00:43一個北韓國家支持的駭客組織 BlueNoroff 部署了一種名為 SilentSiphon 的複雜惡意軟體,旨在從各種應用程式和 Web3 相關服務中竊取敏感資料和憑證。這項行動是更廣泛的 SnatchCrypto 行動的一部分,透過網路釣魚和誘騙軟體針對 macOS 用戶、高管和 Web3 開發者,加劇了數位資產生態系統內的安全性風險。
北韓國家支持的駭客組織 BlueNoroff 部署了一種名為 SilentSiphon 的新型惡意軟體,專門用於竊取各種應用程式和 Web3 相關服務中的關鍵資料和憑證。這種複雜的威脅針對 macOS 用戶,包括技術高管和 Web3 開發者,引發了對數位資產安全的擔憂。
SilentSiphon 是一個竊取工具套件,包含多個 bash 腳本,旨在收集和洩露敏感資訊。該惡意軟體能夠從 Apple Notes、Telegram、網路瀏覽器擴展以及儲存在瀏覽器和密碼管理器中的憑證中獲取資料。此外,它還針對與廣泛服務相關的配置檔案中的秘密,包括 GitHub、GitLab、Bitbucket、npm、Yarn、Python pip、RubyGems、Rust cargo、.NET Nuget、AWS、Google Cloud、Microsoft Azure、Oracle Cloud、Akamai Linode、DigitalOcean API、Vercel、Cloudflare、Netlify、Stripe、Firebase、Twilio、CircleCI、Pulumi、HashiCorp、SSH、FTP,以及幾個著名的區塊鏈平台,例如 Sui Blockchain、Solana、NEAR Blockchain、Aptos Blockchain、Algorand、Docker、Kubernetes 和 OpenAI。
這項活動歸因於 BlueNoroff,它是臭名昭著的 Lazarus Group 的一個子叢集,也被稱為 APT38、CageyChameleon、CryptoCore、Genie Spider、Nickel Gladstone、Sapphire Sleet(前身為 Copernicium)和 Stardust Chollima。SilentSiphon 的部署是更大型行動 GhostCall 和 GhostHire 的一部分,這些行動都屬於自 2017 年以來一直活躍的 SnatchCrypto 行動。
GhostCall 的受害者已在日本、義大利、法國、新加坡、土耳其、西班牙、瑞典、印度和香港的多個 macOS 主機上被觀察到。這項行動主要通過 Telegram 等平台直接接觸技術和風險投資領域的高管,並誘騙他們參加 類似 Zoom 的網路釣魚網站 上的投資相關會議。GhostHire 行動主要影響日本和澳洲,側重於 Web3 開發者。攻擊者通過 Telegram 接觸目標,誘使他們以技能評估為幌子下載並執行惡意 GitHub 儲存庫。
SilentSiphon 作為一套 bash 腳本運行。在初始感染之後(通常通過 CosmicDoor),會創建多個 shell 腳本,以促進資料收集和向攻擊者的命令和控制 (C2) 伺服器的洩露。一個關鍵組件 upl.sh 充當協調啟動器,聚合針對受害者系統量身定制的各種獨立資料提取模組。這種模組化方法允許針對受感染環境進行全面的資料收集,從而有效地繞過為單一威脅向量設計的標準安全性措施。
SilentSiphon 的出現以及正在進行的 BlueNoroff 行動凸顯了 Web3 生態系統 內不斷升級的網路安全風險。直接針對區塊鏈相關服務和開發者工具可能會侵蝕用戶信任,阻礙去中心化技術的更廣泛採用。這些攻擊的複雜性質,利用社會工程學和利用常用平台,預示著個人用戶和從事數位資產的機構實體都需要提高警惕。
Web3 安全的更廣泛背景表明存在不穩定的局面。2025 年第一季度,Web3 領域的損失超過 20 億美元,比 2024 年第一季度增加了 96%。僅訪問控制漏洞利用就造成了該時期超過 16 億美元的損失。儘管智能合約漏洞利用所佔比例較小,造成了 2900 萬美元的損失,但網路釣魚和像 SilentSiphon 這樣的直接資料竊取方法的普遍性顯著加劇了整體金融不安全狀況。
安全專家強調了 Web3 空間中強大網路安全實踐的關鍵重要性。建議個人和組織採用信譽良好的錢包,最好是那些具有既定安全功能和良好記錄的錢包。定期更新軟體至關重要,以確保應用最新的安全補丁。強烈建議使用冷錢包,它將私鑰離線儲存在硬體設備或安全的紙質備份上,以顯著降低網路攻擊的風險。此外,永遠不要與任何人分享私鑰或助記詞的基本原則仍然是數位資產安全的基石。這種結合了先進安全工具和嚴謹用戶行為的積極方法對於應對 SilentSiphon 等不斷演變的威脅並保護 Web3 環境中的資產至關重要。
BlueNoroff 通過 SnatchCrypto 等行動持續 targeting Web3 和區塊鏈領域,凸顯了北韓國家支持的行動者持續且不斷演變的威脅。他們的策略,包括複雜的社會工程學和開發多功能惡意軟體,反映了透過網路竊取獲得經濟利益的戰略重點,通常針對數位資產領域的高價值個人和組織。此類攻擊頻率和複雜性的增加,需要網路安全防禦方面的持續創新,以及整個 Web3 社區的協作努力,以防範未來的入侵。這一趨勢反映了去中心化經濟中日益增長的經濟利益,使其成為資源充足的國家行動者的一個有吸引力的目標。該行業對此類威脅的應對將對塑造其長期安全態勢和彈性至關重要。