與朝鮮民主主義人民共和國（DPRK）有關聯的黑客組織成為2025年全球加密貨幣盜竊激增的主要推手。數據顯示，從1月初至12月初，全球被盜加密貨幣總額超過34億美元，其中至少有20.2億美元與朝鮮黑客有關。

區塊鏈分析公司Chainalysis向《黑客新聞》提供的加密貨幣犯罪報告顯示，這一數字較2024年同比增長51%，比朝鮮黑客2024年竊取的13億美元高出6.81億美元。該公司指出："就涉案金額而言，2025年成為有記錄以來朝鮮加密貨幣盜竊最嚴重的一年，其攻擊事件占所有服務入侵事件的76%，同樣創下歷史新高?？傮w來看，2025年的數據使朝鮮竊取加密貨幣資金的累計最低估值達到67.5億美元。"

僅2月份加密貨幣交易所Bybit遭入侵一案，就導致朝鮮黑客竊取的20.2億美元中有15億美元損失。該攻擊被歸因于名為TraderTraitor（又稱Jade Sleet和Slow Pisces）的黑客組織。Hudson Rock本月早些時候發布的分析報告顯示，基于"trevorgreer9312@gmail[.]com"郵箱地址的存在，一臺感染Lumma竊密程序的機器與Bybit黑客攻擊相關基礎設施存在關聯。

這些加密貨幣盜竊事件是朝鮮支持的黑客組織Lazarus Group過去十年來實施的一系列廣泛攻擊的一部分。該組織還被認為與上月韓國最大加密貨幣交易所Upbit價值3600萬美元的加密貨幣失竊案有關。Lazarus Group隸屬于朝鮮偵察總局（RGB），據估計在2020年至2023年間從超過25起加密貨幣盜竊案中竊取不少于2億美元。

雙重攻擊策略：惡意軟件與IT滲透

Lazarus Group是最活躍的黑客組織之一，其長期實施的"夢想工作行動"（Operation Dream Job）已形成固定模式：通過LinkedIn或WhatsApp聯系國防、制造、化工、航空航天和技術等領域的潛在雇員，以高薪工作機會為誘餌，誘騙他們下載并運行BURNBOOK、MISTPEN和BADCALL等惡意軟件（后者還提供Linux版本）。這些行動最終目標具有雙重性：收集敏感數據并為朝鮮政權創造違反國際制裁的非法收入。

朝鮮黑客采用的第二種策略是以虛假身份將信息技術（IT）人員安插進全球各公司，這些人員或以個人身份滲透，或通過DredSoftLabs和Metamint Studio等為此目的設立的空殼公司進行活動。該策略還包括獲取加密貨幣服務的特權訪問權限以實現高影響力入侵。這種欺詐性操作被稱為"Wagemole"。

Chainalysis表示："這一創紀錄年份的部分原因可能反映出朝鮮黑客加大了對交易所、托管機構和Web3公司IT人員滲透的依賴，這可以加速大規模盜竊前的初始訪問和橫向移動。"

結構化洗錢流程

被盜資金隨后通過中文資金流動和擔保服務、跨鏈橋、混幣器以及Huione等專業市場進行洗錢。更值得注意的是，被盜資產遵循一個結構化的多波次洗錢路徑，該過程在黑客攻擊后約45天內完成：

• 第一波：即時分層（0-5天）：利用DeFi協議和混幣服務立即將資金與盜竊來源分離
• 第二波：初步整合（6-10天）：將資金轉移到加密貨幣交易所、二級混幣服務和XMRt等跨鏈橋
• 第三波：最終整合（20-45天）：使用促進最終轉換為法定貨幣或其他資產的服務

該公司指出："朝鮮黑客大量使用專業的中文洗錢服務和場外交易（OTC）交易商，表明他們與亞太地區的非法行為者緊密融合，這與平壤歷史上利用中國網絡進入國際金融體系的做法一致。"

IT滲透案主犯獲刑

美國司法部（DoJ）披露，40歲的馬里蘭州居民Minh Phuong Ngoc Vong因參與IT人員滲透計劃被判15個月監禁。他允許居住在中國沈陽的朝鮮公民使用其身份在多家美國政府機構獲得工作。2021年至2024年間，Vong通過虛假陳述在至少13家美國公司獲得就業機會，包括獲得美國聯邦航空管理局（FAA）的合同。Vong共獲得超過97萬美元的軟件開發服務薪酬，而實際工作由海外共謀者完成。

美國司法部表示："Vong與其他人共謀，包括化名William James、居住在中國沈陽的外國人John Doe，欺騙美國公司雇傭Vong作為遠程軟件開發人員。在通過對其教育、培訓和經驗的實質性虛假陳述獲得這些工作后，Vong允許Doe等人使用他的計算機訪問憑證來執行遠程軟件開發工作并收取報酬。"

IT人員滲透計劃似乎正在經歷戰略轉變，與朝鮮有關聯的行為者越來越多地充當招聘人員，通過Upwork和Freelancer等平臺招募合作者以擴大行動規模。安全聯盟在上月發布的報告中指出："這些招聘人員使用腳本化的說辭接近目標，要求'合作者'幫助投標和交付項目。他們提供賬戶注冊、身份驗證和憑證共享的逐步指導。在許多情況下，受害者最終會完全放棄對其自由職業賬戶的訪問權限，或安裝AnyDesk或Chrome Remote Desktop等遠程訪問工具。這使得威脅行為者能夠在受害者驗證的身份和IP地址下操作，繞過平臺驗證控制并進行未被發現的非法活動。"