北韩骇客「假 Zoom」投毒攻击猖獗！至今窃取逾 3 亿美元加密币

非营利资安组织「安全联盟（Security Alliance ，SEAL）」示警，北韩骇客组织正大规模利用虚假 Zoom 视讯会议投毒，目前几乎天天都能观测到多起尝试，已成为加密货币产业最迫切的资安风险之一。

SEAL 指出，这类攻击起初会伪装成正常的 Zoom 会议，然后引诱受害者下载恶意软体，进而窃取密码、私钥等敏感资讯。 MetaMask 安全研究员 Taylor Monahan，骇客透过这种战术已窃取超过 3 亿美元的加密货币。

Taylor Monahan 指出，整起攻击的第一步，往往是在 Telegram 上收到「熟人」发来的讯息。由于对方帐号属于受害者认识或曾互动过的人，警戒心自然降低，接著对话会被引导到「找时间用 Zoom 聊聊近况」。

Taylor Monahan 表示，骇客会在视讯前传送一个看起来非常正常的连结，点进去后，甚至能看到对方本人，以及他们的合作伙伴或同事。

她强调，点开连结后看到的视讯画面，其实并非「深度伪造」影像，而是骇客从受害者过去被盗取的录影，或是公开来源（如 Podcast 节目）中取得的真实片段，进一步增强了可信度。

真正的攻击发生在会议开始后。

骇客会刻意假装音讯或连线异常，接著发送所谓的「修补档案」，声称可解决问题。一旦受害者点击并开启这个档案，恶意软体就会入侵装置。

接著，骇客会借口改期再约，若无其事结束这次通话。 Taylor Monahan 提醒：

不幸的是，你的电脑已经被攻陷了。他们只是假装冷静，避免被当场发现。他们最终会偷走你所有的加密货币、你的密码、你公司或协议的机密资料，以及你的 Telegram 帐号。然后，你将成为下一个去「残害」你朋友的人。 “

Monahan 警告，任何点击了可疑 Zoom 通话中分享连结的人，都必须立即采取以下关键行动：

• 立即中断 Wi-Fi 连线，并关闭受感染装置；
• 使用另一台未受感染的装置，将所有加密资产转移到全新的数位钱包中。
• 更改所有重要服务的密码，并启用双重验证（2FA）。
• 清除记忆体或恢复原厂设定。

Taylor Monahan 特别强调，保护 Telegram 帐号至关重要，因为骇客会利用被盗帐号中储存的联络人资讯，来寻找下一个目标：

• 手机打开 Telegram
• 前往「设定 → 装置」
• 强制登出所有其他装置
• 更改密码
• 启用或更新多重验证

🚨 WARNING (AGAIN)

DPRK threat actors are still rekting way too many of you via their fake Zoom / fake Teams meets.

They're taking over your Telegrams -> using them to rekt all your friends.

They've stolen over $300m via this method already.

Read this. Stop the cycle. 🙏 pic.twitter.com/tJTo9lkq0v

— Tay 💖 (@tayvano_) December 13, 2025