Edgen Crypto·Oct 29 2025, 00:43一个朝鲜国家支持的黑客组织 BlueNoroff 部署了一种名为 SilentSiphon 的复杂恶意软件,旨在从各种应用程序和 Web3 相关服务中窃取敏感数据和凭证。这项行动是更广泛的 SnatchCrypto 行动的一部分,通过网络钓鱼和诱骗软件针对 macOS 用户、高管和 Web3 开发者,加剧了数字资产生态系统内的安全风险。
朝鲜国家支持的黑客组织 BlueNoroff 部署了一种名为 SilentSiphon 的新型恶意软件,专门用于窃取各种应用程序和 Web3 相关服务中的关键数据和凭证。这种复杂的威胁针对 macOS 用户,包括技术高管和 Web3 开发者,引发了对数字资产安全的担忧。
SilentSiphon 是一个窃取工具套件,包含多个 bash 脚本,旨在收集和泄露敏感信息。该恶意软件能够从 Apple Notes、Telegram、网络浏览器扩展以及存储在浏览器和密码管理器中的凭证中获取数据。此外,它还针对与广泛服务相关的配置文件中的秘密,包括 GitHub、GitLab、Bitbucket、npm、Yarn、Python pip、RubyGems、Rust cargo、.NET Nuget、AWS、Google Cloud、Microsoft Azure、Oracle Cloud、Akamai Linode、DigitalOcean API、Vercel、Cloudflare、Netlify、Stripe、Firebase、Twilio、CircleCI、Pulumi、HashiCorp、SSH、FTP,以及几个著名的区块链平台,例如 Sui Blockchain、Solana、NEAR Blockchain、Aptos Blockchain、Algorand、Docker、Kubernetes 和 OpenAI。
这项活动归因于 BlueNoroff,它是臭名昭著的 Lazarus Group 的一个子集群,也被称为 APT38、CageyChameleon、CryptoCore、Genie Spider、Nickel Gladstone、Sapphire Sleet(前身为 Copernicium)和 Stardust Chollima。SilentSiphon 的部署是更大型行动 GhostCall 和 GhostHire 的一部分,这些行动都属于自 2017 年以来一直活跃的 SnatchCrypto 行动。
GhostCall 的受害者已在日本、意大利、法国、新加坡、土耳其、西班牙、瑞典、印度和香港的多个 macOS 主机上被观察到。这项行动主要通过 Telegram 等平台直接接触技术和风险投资领域的高管,并诱骗他们参加 类似 Zoom 的网络钓鱼网站 上的投资相关会议。GhostHire 行动主要影响日本和澳大利亚,侧重于 Web3 开发者。攻击者通过 Telegram 接触目标,诱使他们以技能评估为幌子下载并执行恶意 GitHub 存储库。
SilentSiphon 作为一套 bash 脚本运行。在初始感染之后(通常通过 CosmicDoor),会创建多个 shell 脚本,以促进数据收集和向攻击者的命令和控制 (C2) 服务器的泄露。一个关键组件 upl.sh 充当协调启动器,聚合针对受害者系统量身定制的各种独立数据提取模块。这种模块化方法允许针对受感染环境进行全面的数据收集,从而有效地绕过为单一威胁向量设计的标准安全措施。
SilentSiphon 的出现以及正在进行的 BlueNoroff 行动凸显了 Web3 生态系统 内不断升级的网络安全风险。直接针对区块链相关服务和开发者工具可能会侵蚀用户信任,阻碍去中心化技术的更广泛采用。这些攻击的复杂性质,利用社会工程学和利用常用平台,预示着个人用户和从事数字资产的机构实体都需要提高警惕。
Web3 安全的更广泛背景表明存在不稳定的局面。2025 年第一季度,Web3 领域的损失超过 20 亿美元,比 2024 年第一季度增加了 96%。仅访问控制漏洞利用就造成了该时期超过 16 亿美元的损失。尽管智能合约漏洞利用所占比例较小,造成了 2900 万美元的损失,但网络钓鱼和像 SilentSiphon 这样的直接数据窃取方法的普遍性显著加剧了整体金融不安全状况。
安全专家强调了 Web3 空间中强大网络安全实践的关键重要性。建议个人和组织采用信誉良好的钱包,最好是那些具有既定安全功能和良好记录的钱包。定期更新软件至关重要,以确保应用最新的安全补丁。强烈建议使用冷钱包,它将私钥离线存储在硬件设备或安全的纸质备份上,以显著降低网络攻击的风险。此外,永远不要与任何人分享私钥或助记词的基本原则仍然是数字资产安全的基石。这种结合了先进安全工具和严谨用户行为的积极方法对于应对 SilentSiphon 等不断演变的威胁并保护 Web3 环境中的资产至关重要。
BlueNoroff 通过 SnatchCrypto 等行动持续 targeting Web3 和区块链领域,凸显了朝鲜国家支持的行动者持续且不断演变的威胁。他们的策略,包括复杂的社会工程学和开发多功能恶意软件,反映了通过网络窃取获得经济利益的战略重点,通常针对数字资产领域的高价值个人和组织。此类攻击频率和复杂性的增加,需要网络安全防御方面的持续创新,以及整个 Web3 社区的协作努力,以防范未来的入侵。这一趋势反映了去中心化经济中日益增长的经济利益,使其成为资源充足的国家行动者的一个有吸引力的目标。该行业对此类威胁的应对将对塑造其长期安全态势和弹性至关重要。