北韓黑客2025年狂掃20.2億美元加密貨幣：Bybit 14.6億美元大劫案背後

CrowdStrike 將相關黑客集群追蹤為 PRESSURE CHOLLIMA，並指出攻擊涉及經過「木馬化」處理嘅軟件更新，令系統在看似正常更新時被入侵。

一旦取得內部權限，攻擊者便迅速將資產轉出，並分散到數千個區塊鏈地址，增加追蹤難度。

攻擊次數減少，但金額更巨大

區塊鏈分析顯示，2025年北韓黑客盜取嘅加密貨幣金額比上一年增加約51%，但實際攻擊事件數量反而下降。

研究人員認為，呢個趨勢代表策略已經改變：

• 與其發動大量小型攻擊
• 黑客更傾向鎖定大型交易所、金融科技平台同基礎設施

安全公司 CertiK 更形容呢種模式為**「工業化」網絡犯罪**——即係有完整分工，包括入侵、盜取資產同洗錢等不同階段。

2025年常見攻擊手法

1. 供應鏈攻擊

Bybit 事件突顯咗一個重要趨勢：黑客未必直接攻擊交易所，而係先入侵其使用嘅軟件或開發環境。

一旦上游軟件被植入惡意程式，受害公司可能會在正常更新過程中自行安裝被感染工具，令黑客取得高權限存取。

供應鏈攻擊因為利用軟件信任關係，所以往往更難被偵測。

2. AI強化社交工程

威脅情報報告顯示，黑客開始利用生成式AI工具來提升社交工程攻擊效率，例如：

• 生成更逼真的釣魚郵件
• 自動蒐集目標背景資料
• 建立假身份或角色

呢些技術可以大幅增加成功率，同時降低攻擊成本。

3. 假遠端IT員工

另一種日益普遍嘅策略係假冒遠端技術員工入職公司。

執法機構指出，北韓建立咗一個龐大網絡，利用被盜或偽造身份去申請科技公司嘅遠端工作。

一旦成功入職，呢些人可以：

• 取得公司內部系統存取權
• 收集登入憑證
• 協助進行盜竊或洗錢活動

大型科技公司曾表示已阻止數以千計此類求職嘗試，顯示規模相當龐大。

4. 社交工程結合內部滲透

研究機構指出，北韓行動愈來愈多採用所謂**「離線滲透」（offline infiltration）**策略。

意思係攻擊不只靠技術漏洞，亦透過：

• 員工
• 承包商
• 商業合作夥伴

等人際關係取得內部權限。

呢種「技術 + 人際」混合模式可以避開不少傳統資安防禦。

黑客組織：CHOLLIMA 集群

網絡安全公司通常用「集群」（cluster）名稱追蹤北韓黑客活動，而非單一組織。

例如：

• PRESSURE CHOLLIMA：被指與 Bybit 供應鏈攻擊有關，並成功盜走14.6億美元。
• 其他 DPRK 相關集群（常被視為 Lazarus 生態的一部分）亦長期參與金融盜竊與基礎設施入侵。

公開資料對 FAMOUS CHOLLIMA、STARDUST CHOLLIMA 等集群在2025個別事件中的細節仍然有限，但研究機構普遍將它們視為北韓整體網絡行動的一部分。

被盜資產如何洗錢

大型盜竊後，黑客通常會迅速進行多層轉移，例如：

• 將資產分散到大量錢包地址
• 在不同加密貨幣之間轉換
• 使用去中心化交易所（DEX）
• 經跨鏈橋轉移資產
• 利用加密混幣服務

部分案例顯示，大量資金可在數星期內完成洗錢流程。

為何被視為國家安全問題

美國與多國政府指出，北韓網絡犯罪唔只係財務犯罪。

官方評估認為，相關收益被用作：

• 繞過國際制裁
• 資助導彈與核武計劃

因此各國執法部門正加強追蹤洗錢網絡與相關基礎設施。

加密貨幣安全的更大警號

2025年的紀錄級盜竊顯示出幾個重要趨勢：

• 國家級黑客開始把加密平台視為戰略金融目標
• 攻擊結合技術入侵與人員滲透
• 單一事件損失可達數十億美元級別

安全研究人員普遍認為，未來業界需要加強幾個範疇：

• 軟件供應鏈安全
• 遠端員工身份驗證
• 區塊鏈交易監控

隨住加密貨幣市場規模持續擴大，2025年嘅事件顯示——國家支持的網絡犯罪很可能會長期成為行業最大安全挑戰之一。