2025年朝鲜关联黑客共盗取约20.2亿美元加密货币,其中最大事件是对Bybit交易所的14.6亿美元攻击,创下历史纪录。 研究机构指出,这些行动呈现“工业化网络犯罪”模式:攻击次数减少,但单次收益更高,并配套大规模洗钱基础设施和人员渗透网络。

Create a landscape editorial hero image for this Studio Global article: How did North Korean cyber operatives steal a record $2.02 billion in cryptocurrency in 2025, including the $1.46 billion Bybit hack, what t. Article summary: The FBI publicly attributed the Bybit hack to North Korea and said the theft involved approximately $1.5 billion in virtual assets from cryptocurrency exchange Bybit on or about February 21, 2025.. Topic tags: general, government, news, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# North Korean hackers stole a record $2 billion of crypto in 2025, Chainalysis says. ## North Korea-linked hackers drove a record year for crypto thefts, favoring rare but massive" source context "North Korea stole $2 billion in crypto in 2025, Chainalysis says" Reference image 2: visual subject "# North Korean hacker
2025年,与朝鲜有关的黑客组织被认为盗取了 约20.2亿美元的加密货币,这是迄今为止归因于单一国家支持网络行动的最高年度总额。其中最关键的一次攻击,是 2025年2月对加密交易所Bybit的入侵,造成约14.6亿美元资产被盗,成为历史上最大规模的加密货币盗窃事件。
美国联邦调查局(FBI)、区块链分析公司以及网络安全机构的调查显示,这并不是孤立事件,而是一项高度协同的长期行动。攻击者将 供应链攻击、社交工程、AI辅助欺骗、内部渗透以及快速洗钱机制 结合在一起,形成规模化的网络犯罪体系。
以下是这场行动如何实施,以及为何研究人员认为它标志着国家级金融网络犯罪进入新阶段。
2025年2月21日,总部位于迪拜的加密货币交易所 Bybit 遭到攻击,大约 14.6亿美元的数字资产被转移。
美国执法机构将此次行动归因于朝鲜相关黑客行动,追踪名称为 “TraderTraitor”。
威胁情报分析认为,这次攻击与 软件供应链被入侵并植入木马程序 有关,使攻击者获得了生态系统中的可信访问权限。CrowdStrike的研究指出,其追踪的黑客集群 PRESSURE CHOLLIMA 通过在开发流程中分发被篡改的软件,最终实现了这一史上最大规模的数字资产盗窃。
在获取访问权限后,攻击者迅速将大量加密资产转出交易所,并把资金分散到 数千个区块链地址,以掩盖资金流向。
区块链分析数据显示,2025年朝鲜黑客盗取的 20.2亿美元 比上一年增长 51%,尽管攻击次数实际上减少了。
研究人员认为,这意味着攻击策略发生变化:
一些安全机构将这种模式称为 “工业化网络犯罪”:攻击、资金转移和洗钱都有专门团队和基础设施支持。
Bybit事件显示,攻击者越来越倾向于利用 可信软件生态中的弱点,而不是直接入侵交易所服务器。
通过入侵开发者基础设施或软件依赖库,攻击者可以发布 被植入恶意代码的软件更新,受害机构在不知情的情况下安装,从而为攻击者打开系统内部权限。
这种方式之所以危险,是因为它利用了软件生态中天然存在的信任关系。
情报报告指出,攻击者越来越多地使用 人工智能工具 来提升网络欺骗效率,例如:
AI可以帮助攻击者快速创建看起来可信的通信内容,使员工更容易泄露凭据或授予系统访问权限。
另一种关键手段是通过 伪造身份获得远程技术岗位。
执法机构表示,朝鲜建立了庞大的网络,通过使用被盗或伪造身份,让人员应聘海外公司的远程开发或IT岗位,包括一些与加密行业相关的企业。
一旦成功入职,这些人员可以:
一些大型科技公司报告称,他们已阻止 数千次类似求职尝试,显示该计划规模相当庞大。
安全研究人员指出,朝鲜黑客越来越多地采用 “线下渗透”(offline infiltration)的模式。
这意味着攻击不仅依赖技术漏洞,还通过人际关系获取访问权限,例如:
网络安全公司通常使用“集群名称”来追踪朝鲜的网络行动,而不是单一组织。
例如:
公开资料对 FAMOUS CHOLLIMA 或 STARDUST CHOLLIMA 在2025年具体事件中的角色披露较少,但它们通常被视为朝鲜网络行动体系的一部分。
在重大盗窃之后,攻击者通常会迅速移动资金:
调查还显示,他们常使用:
美国及多国政府认为,这些行动不仅是犯罪行为,还构成 国家级资金来源。
官方声明指出,通过网络犯罪获得的资金帮助朝鲜 绕过国际制裁,并支持其导弹和核武器项目。
因此,执法机构正加强对洗钱网络的追踪,并试图破坏这些行动背后的基础设施。
2025年的创纪录盗窃反映出几个重要趋势:
安全专家认为,这意味着行业需要加强:
随着加密资产的全球普及,2025年形成的这些攻击模式表明:国家支持的网络犯罪将长期成为该行业最复杂、最顽固的安全挑战之一。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
2025年朝鲜关联黑客共盗取约20.2亿美元加密货币,其中最大事件是对Bybit交易所的14.6亿美元攻击,创下历史纪录。
2025年朝鲜关联黑客共盗取约20.2亿美元加密货币,其中最大事件是对Bybit交易所的14.6亿美元攻击,创下历史纪录。 研究机构指出,这些行动呈现“工业化网络犯罪”模式:攻击次数减少,但单次收益更高,并配套大规模洗钱基础设施和人员渗透网络。
各国政府警告,这类网络行动被认为为朝鲜规避制裁并资助导弹与核计划提供资金,因此已被视为国家安全问题。