文章总结： 朝鲜Lazarus黑客组织利用AI深度伪造技术制造虚假Zoom会议，通过剪贴板劫持和无文件攻击针对Web3及加密货币领域高管，窃取钱包凭证与敏感数据。文档详细披露攻击流程与AI造假工厂运作模式，并提供包括核查域名、禁用非必要摄像头权限、清理剪贴板等具体防御建议。 综合评分： 85 文章分类： 恶意软件,社会工程学,安全意识,web安全,威胁情报

---

惊心！朝鲜Lazarus造出AI假Zoom会议，5分钟掏空Web3钱包，专盯CEO｜普通人也必防

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年5月12日 11:59 广东

在小说阅读器读本章

去阅读

大家好，我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“AI紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

你敢信吗？

点开一个看起来完全正常的Zoom会议，你还没开口说话，摄像头已经被偷录、剪贴板被篡改、电脑被植入无文件木马，钱包助记词、浏览器密码、Telegram会话全被卷走。

这不是电影——

朝鲜Lazarus旗下BlueNoroff，正在用AI深伪+无文件PowerShell+ClickFix剪贴板劫持，全球猎杀Web3/加密货币圈高管。

Arctic Wolf 4月27日重磅报告曝光：100+目标、20+国家、45%是CEO/创始人，潜伏最长66天不掉线。

这篇把整套杀人链、AI造假工厂、你最容易踩的3个坑、立刻能做的防护讲透。

一、最恐怖的真相：你参加的“会议”，从头到尾都是假的

BlueNoroff（APT38）是朝鲜军方背景专职抢钱的黑客部队，主打一个：

骗最信任的人、偷最值钱的资产、躲最严的杀毒。

这次攻击流程堪称网络犯罪教科书：

1）钓鱼起点：假Calendly预约，埋伏5个月

黑客伪装金融法律专家，给你发Calendly预约

你确认后，黑客悄悄把会议链接换成高仿假Zoom域名（字母差1个，肉眼几乎看不出）

等你准时点开，陷阱启动

2）致命一幕：假Zoom会议室，AI深伪参会者

浏览器打开一个1:1高仿Zoom界面：

有参会人头像、有人在“说话”、绿框高亮、声音正常

但全是假的：

  一部分是偷来的真人摄像头录像（从之前受害者那偷的）

  一部分是 GPT-4o生成的AI人脸（带C2PA溯源标记实锤）

  再合成深伪视频，做成“正在开会”的样子骗你信任

3）一秒中招：ClickFix剪贴板劫持（最阴狠）

假会议弹出提示：

“你的Zoom SDK版本过低，请复制下方命令更新”

你一Ctrl+C——

剪贴板被偷偷换掉

你粘贴运行的，根本不是修复命令，而是恶意PowerShell

4）5分钟沦陷：无文件木马，杀毒查不出来

无文件执行，不写硬盘，EDR很难拦

内存里直接拉起C2远控

黑客拿到权限后：

  ✅ 偷浏览器密码、Cookie、钱包插件

  ✅ 偷Telegram会话，直接接管账号

  ✅ 偷录屏幕、偷摄像头

  ✅ 留持久化，稳控66天

  ✅ 再把你的脸录下来，去骗下一个人

二、AI黑产工厂曝光：用你的脸，去骗你的同事

这起攻击最颠覆的，是黑客搞出了自给自足的AI造假流水线：

1. 偷你的摄像头录像

2. 用 GPT-4o 生成AI人脸

3. 用PR剪辑做成深假参会人

4. 放进假Zoom，去骗你的朋友、投资人、同事

Arctic Wolf在服务器里找到950+个偷来的视频/照片，已经做成一个“假人素材库”。

下次你收到“熟人会议”，里面的人，可能全是AI演的。

三、谁在被猎杀？你没听错：专盯CEO

数据触目惊心：

80% 来自加密货币/区块链/投资机构

45% 是CEO、创始人、联合创始人

76% 是高管/决策层（握钱包、握权限）

覆盖 20多国，美国41%，新加坡11%，英国7%

逻辑很简单：

抢高管=直接碰钱包/私钥/转账权限=一票大单。

四、普通人/公司立刻能用的保命防御（照做就防住90%）

不用懂技术，按这6条做，你就能挡住BlueNoroff这套杀招：

🔴 1）任何会议链接，先查域名（最关键）

真Zoom一定是：

zoom.us

.zoom.us

假的长这样：

uu03webzoom.us

teams-live.org

只要不是官方域名，一律视为诈骗。

🔴 2）永远不要复制粘贴“会议里弹的命令”

任何会议让你复制→粘贴→运行：

命令行

PowerShell

CMD

终端脚本

100%是病毒。

正规Zoom/Teams永远不会让你跑代码。

🔴 3）关掉多余摄像头/麦克风权限

Win10/11：设置 → 隐私和安全性 → 相机/麦克风

只给真正要用的软件开权限。

🔴 4）剪贴板敏感信息用完立刻清

密码、助记词、私钥：

复制→粘贴后，随便复制个空格覆盖剪贴板。

🔴 5）强制开启Telegram二次验证

设置 → 隐私和安全 → 两步验证

黑客就算偷了会话文件，也登不上你号。

🔴 6）企业必开：PowerShell约束模式+日志

启用 Script Block Logging（事件ID 4104）

能直接拦这套无文件攻击。

五、总结

这不是普通钓鱼。

这是国家级黑客+AI深伪+无文件攻击+社会工程的顶配组合。

它真正可怕的地方是：

你以为在工作，其实在送权限；

你以为在开会，其实在送脸给黑客骗更多人。

如果你在：

Web3、Crypto、区块链、基金、投资、金融、法务、高管

——你就是头号目标。

记住一句最有用的：

凡是让你复制粘贴命令的会议，都是抢劫。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《惊心！朝鲜Lazarus造出AI假Zoom会议，5分钟掏空Web3钱包，专盯CEO｜普通人也必防》