朝鲜黑客如何在2025年盗走创纪录的20.2亿美元加密货币

威胁情报分析认为，这次攻击与 软件供应链被入侵并植入木马程序 有关，使攻击者获得了生态系统中的可信访问权限。CrowdStrike的研究指出，其追踪的黑客集群 PRESSURE CHOLLIMA 通过在开发流程中分发被篡改的软件，最终实现了这一史上最大规模的数字资产盗窃。

在获取访问权限后，攻击者迅速将大量加密资产转出交易所，并把资金分散到 数千个区块链地址，以掩盖资金流向。

攻击次数减少，但金额更巨大

区块链分析数据显示，2025年朝鲜黑客盗取的 20.2亿美元 比上一年增长 51%，尽管攻击次数实际上减少了。

研究人员认为，这意味着攻击策略发生变化：

• 不再进行大量小规模攻击
• 转而专注于 大型交易所和金融基础设施
• 每次行动都追求更高回报

一些安全机构将这种模式称为 “工业化网络犯罪”：攻击、资金转移和洗钱都有专门团队和基础设施支持。

2025年攻击浪潮背后的关键技术

供应链攻击

Bybit事件显示，攻击者越来越倾向于利用 可信软件生态中的弱点，而不是直接入侵交易所服务器。

通过入侵开发者基础设施或软件依赖库，攻击者可以发布 被植入恶意代码的软件更新，受害机构在不知情的情况下安装，从而为攻击者打开系统内部权限。

这种方式之所以危险，是因为它利用了软件生态中天然存在的信任关系。

AI辅助社交工程

情报报告指出，攻击者越来越多地使用 人工智能工具 来提升网络欺骗效率，例如：

• 自动生成钓鱼邮件
• 模拟真实人物身份
• 收集目标信息进行定制攻击

AI可以帮助攻击者快速创建看起来可信的通信内容，使员工更容易泄露凭据或授予系统访问权限。

“假远程IT员工”计划

另一种关键手段是通过 伪造身份获得远程技术岗位。

执法机构表示，朝鲜建立了庞大的网络，通过使用被盗或伪造身份，让人员应聘海外公司的远程开发或IT岗位，包括一些与加密行业相关的企业。

一旦成功入职，这些人员可以：

• 合法访问内部系统
• 收集账号凭证
• 协助黑客行动或资金洗钱

一些大型科技公司报告称，他们已阻止 数千次类似求职尝试，显示该计划规模相当庞大。

社交工程与内部渗透

安全研究人员指出，朝鲜黑客越来越多地采用 “线下渗透”（offline infiltration）的模式。

这意味着攻击不仅依赖技术漏洞，还通过人际关系获取访问权限，例如：

• 员工
• 外包人员
• 合作伙伴

这种混合策略可以绕过许多传统网络安全防御。

被追踪的黑客集群

网络安全公司通常使用“集群名称”来追踪朝鲜的网络行动，而不是单一组织。

例如：

• PRESSURE CHOLLIMA：CrowdStrike认为该集群实施了通过供应链攻击实现的14.6亿美元Bybit盗窃案。
• 其他DPRK关联集群：一些行动与更广泛的 Lazarus 生态相关，负责间谍活动、金融盗窃和基础设施入侵。

公开资料对 FAMOUS CHOLLIMA 或 STARDUST CHOLLIMA 在2025年具体事件中的角色披露较少，但它们通常被视为朝鲜网络行动体系的一部分。

盗取的加密货币如何被洗钱

在重大盗窃之后，攻击者通常会迅速移动资金：

• 分散到数千个区块链地址
• 在多种加密货币之间转换

调查还显示，他们常使用：

• 加密货币混币服务
• 去中心化交易所（DEX）
• 跨链桥

这些工具可以显著增加追踪难度。

在某些案例中，大部分被盗资金 在数周内就完成转移或洗钱。

为什么各国政府将其视为国家安全问题

美国及多国政府认为，这些行动不仅是犯罪行为，还构成 国家级资金来源。

官方声明指出，通过网络犯罪获得的资金帮助朝鲜 绕过国际制裁，并支持其导弹和核武器项目。

因此，执法机构正加强对洗钱网络的追踪，并试图破坏这些行动背后的基础设施。

加密行业面临的新安全现实

2025年的创纪录盗窃反映出几个重要趋势：

• 国家级黑客将 加密平台视为战略金融基础设施目标
• 攻击结合 技术漏洞、人为渗透和欺骗
• 单次入侵可能达到 数十亿美元规模

安全专家认为，这意味着行业需要加强：

• 软件供应链安全
• 远程员工身份验证
• 区块链交易监控

随着加密资产的全球普及，2025年形成的这些攻击模式表明：国家支持的网络犯罪将长期成为该行业最复杂、最顽固的安全挑战之一。