Web3 创始人 Akshit Ostwal 在针对开发者的复杂加密骗局中,损失了 $20K ,受北韩 BeaverTail 恶意软件攻击。
Web3 领域本周再次受到严峻警示。Epoch Protocol 联合创始人 Akshit Ostwal 在帮助一位朋友进行看似标准的技术面试后,损失了超过 2 万美元。
这一事件仅仅显示了北韩黑客持续针对互联网未来建设者的行动。
麻烦始于去年12月18日,一位朋友提出的一个简单请求。这位朋友正在申请新工作,要求 Ostwal 审查一个代码仓库。
这位朋友相信该代码来自一家知名公司的正规招聘人员。
Ostwal 出于好意,在本地机器上运行了第三方代码。
https://t.co/FCHfkGQdeA
— (AK) Akshit | Epoch Protocol 🦇🔊🛡️ (@OstwalAk) 2026年1月8日
这次善意的行为为“传染性面试”行动打开了大门,该行动与臭名昭著的朝鲜国家支持的 Lazarus 组织有关联。
这些攻击者不再采用大规模钓鱼,而是利用高端社交工程手段,诱使开发者运行被篡改的文件。
Ostwal 在一条 X(前推特)帖子中指出,一旦他执行了代码,静默感染链便在他的机器上启动。
Seal911 的安全专家确认,主要罪魁祸首是 BeaverTail 恶意软件。这款基于 JavaScript 的软件常与名为 InvisibleFerret 的二级后门配合使用。
当两者结合使用时,几乎成为任何开发环境中难以阻挡的加密资产窃取组合。
据 Ostwal 介绍,恶意软件的工作流程包括几个阶段:
第一阶段是自动执行,一旦本地服务器启动,一个名为 analytics.controller.js 的文件开始运行隐藏功能。
接着,该脚本立即将 Ostwal 系统环境变量发送给攻击者,包括敏感信息如数据库 URL 和私钥。
最后,攻击者的服务器返回恶意 JavaScript,在感染设备上以 root 权限执行。
不久,2 万美元便付诸东流。
值得注意的是,黑客并未立即转移资金,而是在 Ostwal 的设备上维持了近一个月的后门。在此期间,他们编写了定制脚本,以解除他的 DeFi 投资。
他们还等待最佳时机,将所有资产一次性“扫荡”。
攻击者最终针对了兼容 EVM 的钱包和 Solana 账户。
他们利用 Near-Intents 和 Rubic 交易所等工具,将被盗资金转移。这种“链跳转”策略使得追踪资金在不同区块链上的流向变得困难。
相关阅读:34亿美元被盗:北韩推动今年创纪录的 $2 十亿加密盗窃
Ostwal 的经历是网络犯罪激增的一个缩影。2026 年加密犯罪报告数据显示,去年北韩黑客盗取了 20.2 亿美元。
这一数字占去年全球加密盗窃总损失 34 亿美元的绝大部分。
“传染性面试”行动已被证明极为有效。黑客创建了数百个恶意 NPM 包,并利用 AI 生成类似人类的面试回答。
换句话说,他们实际上将就业市场变成了软件工程师的雷区。
