財富雜誌記者：明知朝鮮黑客猖獗，我還是中招了

撰文：Ben Weiss，《財富》雜誌

編譯：Luffy，Foresight News

3 月下旬，我收到了《財富》雜誌 IT 管理員發來的一則令人不安的消息。「有一個行程正在暴露系統漏洞，」他寫道，有人可能已經潛入了我的電腦。「我需要終止它。」我瞬間慌了。

根據 IT 部門事後查看的日誌顯示，我在當天上午 11:04 下載了一個檔案，該檔案具備按鍵記錄、螢幕錄製、竊取密碼，以及存取我各類應用程式的能力。

我立刻闔上筆記型電腦，衝出布魯克林的公寓，奔向最近的地鐵站。在等地鐵前往公司時，我傳訊息給編輯：「我好像被北韓駭客釣魚了，笑死。」

我一直都在報導北韓的相關新聞，也知道這個國家專門針對美國投資人。但我萬萬沒想到，這群臭名昭著的駭客會盯上我，還讓我親身體驗了一把他們的詐欺手段有多高明。

感覺像詐騙

這個「隱士王國」多年來一直在持續侵擾加密產業。由於受到制裁，北韓被全球金融體系拒於門外，北韓需要依靠由國家支持的加密貨幣竊盜來維持運轉。

加密資料分析公司 Chainalysis 的數據顯示，僅在 2025 年這一年，與北韓有關的駭客就竊取了價值 20 億美元的加密貨幣，比前一年增加了約 50%。

北韓已形成一套屢試不爽的誘騙套路，包括說服企業雇用他們擔任 IT 人員，以及這次用來騙我的手段。

北韓駭客在 3 月中旬就布下了陷阱。誘餌是一則來自某對沖基金投資人的 Telegram 訊息，該應用也是加密產業最常用的通訊工具。這位投資人我不便透露姓名，他曾是我報導中的匿名線人。

他問我要不要認識一個叫 Adam Swick 的人，此人曾是比特幣礦企 MARA Holdings 的首席策略官。我回覆說可以，他一向很友好、也很可靠，隨後我被拉進了一個群聊。

他說 Swick 正在籌備成立一個新的數位資產金庫，「已經有一位潛在的大型種子投資人」。這個計畫聽起來疑點重重，但我仍打算聽聽他要說什麼。

他在 Telegram 上約我通話。一週後，這位線人傳給我一個看起來像是 Zoom 會議的連結。我點了進去。

啟動的程式介面看起來和我每天使用的 Zoom 幾乎一樣，但設計細節有點不對勁，而且音訊完全沒有聲音。系統提示我需要更新軟體來修復音訊問題；同時，Swick 傳來訊息：「看起來你那邊 Zoom 出問題了。」我點擊下載了更新包。

當我發現瀏覽器裡的連結與 Telegram 傳來的不一致時，我瞬間警覺起來。我提議把會議換到 Google Meet。「這讓我覺得像個詐騙，」我在群裡對 Swick 和那位線人說。

Swick 仍在堅持：「別擔心，我在我的電腦上剛試過沒問題。」

我沒有在 Mac 上執行那個指令碼，果斷退出 Zoom 會議。「想聊的話就用 Google Meet 吧。」我在 Telegram 上回覆道。我的線人立刻把我踢出了群聊。

病毒式連環入侵

我衝出公寓趕往 IT 部門的路上，傳訊息給資深安全研究員 Taylor Monahan。她是 SEAL 911 組織成員，這是一個協助加密貨幣遭竊受害者的志願者團體。我把下載的指令碼和視訊會議連結寄給她。

「這是北韓駭客幹的。」她幾秒鐘後就回覆了我。

如果我當時執行了那個指令碼，駭客就會偷走我的密碼、Telegram 帳號，以及我持有的所有加密貨幣。幸運的是，我只持有少量比特幣和幾種其他加密資產。

駭客攻擊的特性決定了很難 100% 確定幕後黑手，但在我這次險些中招的事件裡，Monahan 告訴我，連結、指令碼，甚至假冒 Swick 的帳號，所有線索都指向北韓。調查人員會結合區塊鏈分析等多重證據，將事件與北韓連結起來。另外兩位長期追蹤北韓駭客的安全研究員，在我把指令碼和連結傳給他們後，也證實了這個判斷。

「幫我跟他問個好，哈哈。」Monahan 說，指的是盯上我的那名北韓駭客。

Monahan 和其他安全研究員已處理過數百起加密產業內的虛假視訊會議釣魚案件。這套套路雖然制式化，但非常有效。

駭客會先控制一個真實使用者的 Telegram 帳號，然後聯絡其通訊錄裡的人。受害者被要求加入視訊會議，但通話中的音訊總是無法正常運作。接著受害者會被誘導執行一個「修復音訊」的更新程式。一旦執行指令碼，駭客就能取得受害者的加密資產、密碼，以及 Telegram 帳號。

事實上，根據谷歌在週三發布的一份報告，針對我的這群北韓駭客，另外也正在策劃一場針對廣大軟體開發人員的攻擊。

我不是開著藍寶堅尼的比特幣富豪，但 Monahan 告訴我，北韓駭客並不只針對有錢人。她發現，越來越多的加密產業記者成為目標，很可能是因為記者的 Telegram 裡有大量人脈。這些連絡人裡，大概率藏著不少加密貨幣富豪。

就像病毒劫持健康細胞一樣，駭客會攻陷這些帳號，再去攻擊帳號裡的連絡人。我就是這樣差點中招的。我以為自己在跟熟人聊天，因此放鬆了警惕。

「假冒的我」

我徹底格式化電腦、修改所有密碼，並反覆感謝 IT 管理員後，最終打電話給那位線人。不出所料，他的 Telegram 帳號早在 3 月初就被盜了。

「我 Telegram 裡有很多連絡人，手機和電腦裡都沒存，」他說。「但更讓我難受的是，有人在冒充我，用我的身分去騙人，這種被侵犯的感覺太糟了。」

而且，儘管他在三週內多次聯絡 Telegram 尋求幫助，卻一直沒有得到回應。Telegram 一位發言人在聲明中告訴我：「雖然 Telegram 會盡一切努力保護帳號，但任何平台都無法阻止使用者被騙。」他補充說，在我聯絡他們之後，平台已凍結了這位對沖基金投資人的帳號。

我也聯絡了真正的 Adam Swick。從 2 月初開始，就有人在 Telegram 上冒充他。這位前 MARA 高管收到無數則簡訊和電話，質問他為什麼要約會議。他每次都只能道歉。

「但有些人會反問我，『兄弟，你道什麼歉？』」Swick 說。「我只能說：『我不知道，我在替假的我道歉吧……真的很抱歉發生這種事。』」

Swick 不知道駭客為什麼要冒充他，而我的線人也不清楚自己的 Telegram 是怎麼被盜的。但在通話快結束時，我們兩個突然找到了可能的答案。

在這位投資者的 Telegram 被盜之前，最後聯絡的人裡就有一個假冒的 Swick。「我跟他開了個 Zoom 會，他那邊音訊連不上，」我的線人說。「我隱約記得當時下載了什麼東西。」

換句話說，我的線人很可能就是被同一群駭客盯上了。在我們意識到他的電腦可能也已被感染後，這位對沖基金投資人立刻掛了電話，格式化了自己的電腦。

我在 Telegram 上傳給假冒的 Adam Swick 一則訊息：「這個帳號是由北韓駭客控制嗎？」

至今，我還沒有收到任何回覆。