与朝鲜有关联的黑客继续利用实时视频通话（包括人工智能生成的深度伪造视频）诱骗加密货币开发者和从业人员在自己的设备上安装恶意软件。

BTC Prague 联合创始人 Martin Kuchař 披露的最新案例中，攻击者利用被盗用的 Telegram 帐户和伪造的视频通话推送伪装成 Zoom 音频修复程序的恶意软件。

库查尔表示，这场“高级别黑客攻击活动”似乎“目标是比特币和加密货币用户”。披露周四在 X 频道播出。

库查尔解释说，攻击者会联系受害者，并安排Zoom或Teams通话。通话期间，他们会使用人工智能生成的视频，伪装成受害者认识的人。

他们随后声称存在音频问题，并要求受害者安装插件或文件来修复。一旦安装完成，恶意软件就会授予攻击者完全的系统访问权限，使他们能够窃取比特币、接管 Telegram 账户，并利用这些账户攻击其他人。

与此同时，人工智能驱动的身份冒用诈骗已将加密货币相关的损失推高至……创纪录的170亿美元根据区块链分析公司 Chainalysis 的数据，到 2025 年，攻击者将越来越多地使用深度伪造视频、语音克隆和虚假身份来欺骗受害者并获取资金。

类似袭击

库查尔对这次袭击的描述与以下情况非常吻合：技术网络安全公司 Huntress 最早记录了此类攻击，该公司在去年 7 月报道称，这些攻击者在 Telegram 上与目标加密货币工作者建立初步联系后，会诱骗他们参加精心安排的 Zoom 通话，他们通常使用托管在伪造的 Zoom 域名上的虚假会议链接。

据 Huntress 称，在通话过程中，攻击者会声称存在音频问题，并指示受害者安装看似与 Zoom 相关的修复程序，而实际上这是一个恶意 AppleScript，它会启动多阶段的 macOS 感染。

脚本执行后，会禁用 shell 历史记录，检查 Apple Silicon 设备上是否存在 Rosetta 2（一个翻译层），或者安装 Rosetta 2，并反复提示用户输入系统密码以获取提升的权限。

该研究发现，恶意软件链会安装多种有效载荷，包括持久性后门、键盘记录器和剪贴板工具以及加密钱包窃取程序。库查尔周一披露其 Telegram 帐户被入侵时，也提到了类似的程序顺序。受损后来又被用来以同样的方式攻击其他人。

社会模式

Huntress 的安全研究人员高度确信此次入侵是由与朝鲜有关联的高级持续性威胁 (APT) 造成的，该威胁被追踪为 TA444，也称为 BlueNoroff 以及其他几个别名，这些别名都隶属于 Lazarus Group。国家资助的团体自 2017 年以来，一直专注于加密货币盗窃。

当被问及这些行动的运营目标以及他们是否认为两者之间存在关联时，区块链安全公司Slowmist的首席信息安全官张珊（Shān Zhang）表示解密库查尔最近遭受的袭击“可能”与拉撒路集团的更广泛行动有关。

“不同营销活动中存在明显的重复使用现象。我们不断发现针对特定钱包的定向攻击，以及使用非常相似的安装脚本，”去中心化人工智能计算网络 Gonka 的联合创始人 David Liberman 表示。解密.

利伯曼表示，图像和视频“不能再被视为可靠的真实性证明”，并补充说，数字内容“应该由其创建者进行加密签名，并且此类签名应该需要多因素授权”。

他说，在这样的背景下，叙事已经成为“追踪和检测的重要信号”，因为这些攻击“依赖于熟悉的社会模式”。

朝鲜的拉撒路集团与反对加密货币的运动有关。公司,工人， 和开发人员利用定制恶意软件和复杂的社会工程手段窃取数字资产和访问凭证。