2024年5月，朝鲜黑客从日本加密货币公司DMM Bitcoin窃取了价值3.08亿美元的比特币。日本和美国当局已确认此次盗窃与TraderTraitor威胁活动相关，该活动亦被追踪为Jade Sleet、UNC4899和Slow Pisces。TraderTraitor活动以针对同一公司多名员工的定向社会工程攻击为特征，展现出高度的组织性和复杂性。

TraderTraitor是一个与朝鲜相关的持续性威胁活动群体，自2020年以来一直活跃，主要针对Web3领域的公司。该群体通过诱导受害者下载含有恶意软件的加密货币应用，最终实现资金盗窃。近年来，他们通过工作相关的社会工程攻击和GitHub项目的伪装，部署恶意npm包，进一步增强了攻击的隐蔽性和效果。

据FBI记录，攻击链始于2024年3月，当时TraderTraitor团队冒充招聘人员，联系了DMM Bitcoin的合作伙伴Ginco的一名员工，并发送了一个恶意Python脚本的链接，声称这是入职前的测试。该员工在将脚本复制到个人GitHub页面后，Ginco的系统被成功入侵。

在2024年5月中旬，攻击者利用会话cookie信息冒充该员工，成功进入Ginco未加密的通信系统。随后，他们操纵DMM Bitcoin一名员工的合法交易请求，盗取了4,502.9 BTC，比特币当时价值3.08亿美元。这些被盗资金随后转移到了TraderTraitor控制的钱包中。

区块链情报公司Chainalysis指出，攻击者利用基础设施漏洞进行未经授权的提款，将被盗资金转移到多个中间地址，并通过比特币CoinJoin混合服务混合资金，最终转移到与柬埔寨企业集团HuiOne Group相关的在线市场HuiOne Guarantee。HuiOne Group此前已被曝光为网络犯罪的重要参与者。

与此同时，AhnLab安全情报中心（ASEC）透露，朝鲜黑客代号Andariel——Lazarus Group的一个子集群——正在部署SmallTiger后门，针对韩国的资产管理和文档集中解决方案进行攻击。这表明，Lazarus Group正在不断进化其攻击工具和策略，进一步加大对目标的渗透力度。

在此次黑客事件后，DMM Bitcoin于本月初宣布关闭运营，以应对安全威胁和客户信任危机。这一举措显示出加密货币行业在面对高级持续威胁（APT）攻击时的脆弱性，以及需要更加坚实的安全防护措施来保护用户资产。

🎉 大家期盼很久的#数字安全交流群来了！快来加入我们的粉丝群吧！

🎁 多种报告，产业趋势、技术趋势

这里汇聚了行业内的精英，共同探讨最新产业趋势、技术趋势等热门话题。我们还有准备了专属福利，只为回馈最忠实的您！

👉 扫码立即加入，精彩不容错过！

😄嘻嘻，我们群里见！