安全公司：朝鲜黑客「假Zoom」软件攻击已成日常威胁，窃取超3亿美元资产

从这些材料来看，朝鲜黑客组织，特别是Lazarus Group，已经将社交工程攻击，尤其是利用伪造Zoom会议的手法，发展成为一种高度成熟且日常化的犯罪模式。这远非零散的诈骗尝试，而是一场持续性强、针对明确、且由国家力量在背后支持的有组织金融犯罪。

其攻击链条设计精妙，深刻洞察并利用了人性弱点与行业特性。攻击始于信任链的构建，通过劫持或伪装受害者熟人的社交媒体账号（如Telegram、X），极大地降低了目标的警惕性。邀请进行视频会议在远程协作成为常态的今天显得无比自然，这使得整个诱饵过程毫无违和感。

在攻击执行阶段，其战术细节体现出对操作心理的精准把握。在会议中制造技术故障（如音频问题）是经典的社会工程学手段，它不仅合情合理，更能让受害者处于一种急于解决问题、乐于接受帮助的心理状态，此时发送所谓的“补丁”或“更新”文件，受害者执行的意愿会大幅提高。文件一旦执行，系统即被植入信息窃取类恶意软件，其核心目标是搜刮加密货币钱包的私钥、助记词以及各类登录凭证，最终实现资产的无声转移。

值得注意的是，攻击者的伪装技术在不断进化。从早期的伪造链接，发展到使用深度伪造（Deepfake）技术生成真人视频影像（如Manta创始人遭遇的案例），这使得骗局的可信度达到了前所未有的高度，即便是行业内的资深人士也面临巨大风险。

从威胁层面看，这已经超越了单纯的网络安全事件。Lazarus Group的行动具有明确的国家战略目的：为政权规避国际制裁、获取外汇资金。其攻击目标高度集中於加密货币领域，因为该领域资产流动性强、转移迅速且在一定程度上具有匿名性，这与他们的金融诉求完美契合。相关报告指出，他们甚至试图系统性渗透加密企业，通过派遣“求职者”的方式从内部瓦解安全防线，这标志着威胁已从外部攻击转向内外结合的立体攻势。

对于从业者而言，此威胁揭示出一个残酷现实：传统的依赖“识别可疑链接”的防御范式已经过时。攻击发生在可信的通信平台（Telegram）、使用可信的软件（Zoom）、伪装成可信的人（同事、朋友）。因此，防御必须进行根本性升级：

首先，必须建立并严格执行外部通信的身份验证协议。任何通过非工作官方渠道发起的涉及资金、软件安装或敏感信息的请求，都必须通过另一条独立且预先验证过的通道进行二次确认。

其次，对“便利性”的妥协是最大的安全漏洞。在任何情况下都不应在非官方渠道下载和运行可执行文件、脚本或“补丁”。软件更新必须直接前往官网获取。

最终，必须意识到你面对的不是普通黑客，而是一个受国家支持、资源无限、且极具耐心的对手。他们的攻击是持续的、针对性的，并且会不断调整战术。整个行业需要在安全意识上达成共识，将这种威胁视为业务存续的核心风险之一，而不仅仅是技术问题。