Ripple 公開北韓駭客威脅情資:加密產業共享可疑員工 LinkedIn、錢包、惡意網域
Ripple 5 月 4 日(美國時間)宣布、把內部累積的北韓駭客威脅情資、透過 Crypto ISAC(Crypto Information Sharing and Analysis Center、加密產業資訊共享分析中心)公開分享給整個加密產業、目標是讓更多公司能在「北韓駭客以社交工程滲透」的攻擊浮現前提早辨識。CoinDesk 報導整理、Ripple 分享的情資包含可疑「IT 工作者/滲透人員」的詳細檔案(LinkedIn 資訊、Email、電話、地理位置、跨公司關聯)、與已確認的詐騙錢包、惡意網域、與活躍的入侵指標(IoC)。
北韓攻擊轉向「社交工程」:先求職、再下手
本次情資共享的觸發點是北韓駭客戰術的明顯轉變—從過去的「快速技術攻擊」(如 4 月 KelpDAO 跨鏈橋漏洞)、轉向「長期社交工程滲透」。Ripple 在公告中具體描述:
- 北韓人員假冒 IT 工程師、應徵加密公司職缺
- 通過背景檢查、出現在 Zoom 會議、長期建立信任
- 數月後在內部部署惡意程式、傳統資安工具難以偵測(因為攻擊者「已經在裡面」)
近期的 Drift 駭客事件就是這種模式的代表案例—攻擊者花數月跟平台貢獻者建立關係、再將惡意程式植入他們的電腦、最終竊取私鑰。對加密公司的人資、工程主管而言、這種攻擊模式遠比過去的「外部漏洞攻擊」更難防範。
廣告 - 內文未完請往下捲動
共享範圍:LinkedIn 檔案、錢包、網域、IoC 全鏈條
Ripple 透過 Crypto ISAC 開放的情資內容、規模空前:
- 可疑人員檔案—LinkedIn 連結、Email 帳號、電話、地理位置、跨公司就業關聯
- 詐騙錢包—已確認與北韓 Lazarus Group 連結的鏈上地址
- 惡意網域—駭客慣用的釣魚網站、偽冒招募網站
- 入侵指標(IoC)—惡意程式 hash、命令與控制(C2)伺服器 IP、可疑網路流量模式
對加密公司來說、整合這套情資後可在徵才、入職、Zoom 通訊、合約簽署、錢包活動等多個關鍵點、自動比對北韓駭客指紋、提早攔截。
2026 年北韓駭客損失 5.77 億美元、佔全球加密駭客 76%
本次情資共享的背景是 2026 年北韓駭客活動的規模化升級。TRM Labs 數據:北韓相關駭客 2026 年截至 4 月底、合計從加密產業竊取 5.77 億美元、佔全球加密駭客損失的 76%、且絕大部分集中在「少數但極大規模」的攻擊(KelpDAO 跨鏈橋 2.9 億、Bybit 2025 年 2 月 15 億美元)。
對 Ripple 自身的策略意義是:作為 XRP 與 RippleNet 的母公司、它服務全球銀行業跨境支付網絡、若任何銀行客戶因北韓駭客滲透而出問題、會直接波及 Ripple 商譽與業務。主動公開分享情資、不只是產業集體防衛、也是 Ripple 對機構客戶宣示「我們有完整威脅情報能力」的市場定位。
Crypto ISAC 是 2024 年成立的非營利產業組織、Ripple 與 Coinbase 是早期加入的核心成員。本次 Ripple 透過 ISAC 共享北韓威脅情資、是該組織成立以來最大規模的單一情資貢獻。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
