安全机构：疑似朝鲜黑客组织协同攻击加密货币企业窃取密钥与云资产

这是一起典型的针对加密货币基础设施的定向攻击，其战术、技术与程序与朝鲜背景的黑客组织高度吻合。攻击者表现出对云环境的深刻理解，他们并非进行漫无目的的扫描，而是利用已知漏洞和窃取的凭证进行精准渗透，目标直指核心资产——密钥和源代码。

从技术层面看，攻击链非常清晰。利用React2Shell漏洞获取初始访问权限，结合已泄露的AWS凭证，迅速在云环境中横向移动。他们枚举S3、EC2、RDS、EKS、ECR等关键服务，表明其意图是全面掌控受害者的云基础设施。从Secrets Manager、Terraform文件、Kubernetes配置和Docker容器中提取密钥，说明他们深谙现代DevOps和云原生架构的安全弱点，知道这些地方往往集中存放着最高权限的访问凭证。

窃取Docker镜像和源代码是本次攻击的另一个关键目标。这远不止于直接的经济盗窃，更是一种长期战略投资。通过分析这些代码，攻击者可以深入研究平台架构，发现潜在的零日漏洞，为未来更大型、更精准的攻击铺平道路。ChainUp作为一家交易所软件供应商，其客户相关组件被窃，意味着攻击的影响面可能通过供应链扩散到其下游的多个交易所。

结合相关背景文章，可以清晰地看到这是一场持续且不断升级的战役的一部分。朝鲜黑客组织，特别是Lazarus Group，已经将加密货币行业视为其国家级的“创收”渠道。他们的策略在2025年显得愈发老练：从早期广泛的钓鱼攻击和钱包窃取，演进为针对大型中心化交易所和关键基础设施供应商的高价值、高回报的复杂攻击。Bybit被盗15亿美元的事件就是一个标志，表明他们的攻击规模和能力已经达到了前所未有的水平。

更令人担忧的是其攻击手段的多元化。除了技术漏洞利用，社会工程学攻击已成为其主要入口之一。伪装成Coinbase、Uniswap等知名公司的招聘人员进行“钓鱼面试”，部署能够窃取浏览器扩展（如MetaMask）凭证的定制化恶意软件，这些手段直接针对行业从业者，利用求职需求突破防线。甚至有情报显示，朝鲜特工可能已经渗透了相当比例的加密公司，这预示着行业面临的不仅是外部攻击，还有潜在的内部威胁。

归因置信度为“中等”是这类事件的常态。攻击者会刻意使用位于韩国的服务器等基础设施来混淆溯源，但这套攻击模式、工具集和战略意图，与已知的朝鲜攻击活动存在高度重叠。这些攻击所获取的巨额资金，最终通过混币器如Tornado Cash等进行洗钱，并很可能用于支持其政权。

对于加密货币企业而言，这起事件是一个严峻的警示。它凸显了在云安全配置、密钥管理、供应链安全以及员工安全意识方面存在的巨大短板。传统的防御边界已经模糊，必须建立一套覆盖云基础设施、代码仓库、访问控制和人员流程的深度防御体系，并假设自己已经处于高度定向攻击的威胁之下，才能有效应对这种级别的对手。