2025年與北韓相關的駭客行動被估計竊取約20.2億美元加密貨幣,其中最大事件是2月對Bybit交易所的14.6億美元攻擊。[4][43] 研究機構指出攻擊模式正在「工業化」:攻擊次數減少,但單次入侵規模更大,並配合洗錢基礎設施與人員滲透行動。[36][43] AI社交工程、供應鏈攻擊與假遠端IT工作者網路,使這些行動更難被偵測,也讓各國政府將其視為國安問題。[17][49]

Create a landscape editorial hero image for this Studio Global article: How did North Korean cyber operatives steal a record $2.02 billion in cryptocurrency in 2025, including the $1.46 billion Bybit hack, what t. Article summary: The FBI publicly attributed the Bybit hack to North Korea and said the theft involved approximately $1.5 billion in virtual assets from cryptocurrency exchange Bybit on or about February 21, 2025.. Topic tags: general, government, news, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# North Korean hackers stole a record $2 billion of crypto in 2025, Chainalysis says. ## North Korea-linked hackers drove a record year for crypto thefts, favoring rare but massive" source context "North Korea stole $2 billion in crypto in 2025, Chainalysis says" Reference image 2: visual subject "# North Korean hacker
2025年,與北韓政府相關的駭客團體被估計竊取約20.2億美元的加密貨幣,創下單一國家支持網路犯罪行動的年度紀錄。
這波攻擊潮的核心事件,是2025年2月對加密貨幣交易所 Bybit 的入侵,駭客在一次行動中盜走約14.6億美元數位資產,成為史上最大規模的加密貨幣竊案。
美國聯邦調查局(FBI)、區塊鏈分析公司與威脅情報研究指出,這些行動並非零散攻擊,而是一套高度協調的國家級網路犯罪模式,結合供應鏈攻擊、AI輔助社交工程、內部滲透與快速洗錢流程。
以下是這場行動的主要運作方式。
2025年2月21日,總部位於杜拜的加密貨幣交易所 Bybit 遭到重大入侵,駭客成功轉移約 14.6億美元的加密資產。
美國FBI將該事件歸因於北韓駭客行動 「TraderTraitor」。調查顯示,攻擊者在成功入侵後迅速將資金轉移到數千個不同區塊鏈地址,以降低追蹤難度。
威脅情報研究指出,此次攻擊與**軟體供應鏈被植入惡意程式(trojanized software)**有關。CrowdStrike將執行該行動的駭客群集追蹤為 PRESSURE CHOLLIMA,並認為攻擊者透過被污染的開發流程向目標散布惡意工具。
一旦取得信任系統的存取權限,駭客便能直接從交易所基礎設施中轉移大量加密資產。
區塊鏈分析顯示,2025年北韓相關團體盜走的 20.2億美元,比前一年增加約 51%,但攻擊事件數量反而下降。
研究人員指出,這反映出策略轉變:
安全公司 CertiK 將這種模式稱為**「工業化的加密貨幣犯罪」**——有組織地分工進行入侵、竊取與洗錢。
Bybit事件顯示,攻擊者越來越常利用軟體信任關係入侵目標,而不是直接攻擊交易所。
當駭客控制開發工具、程式依賴庫或更新流程時,他們可以散布帶有惡意程式的版本。企業在正常更新時,便可能主動安裝後門程式。
這類供應鏈攻擊之所以危險,是因為它利用了整個軟體生態系的信任機制。
威脅情報報告指出,攻擊者越來越常利用生成式AI工具來提升詐騙效率。
AI可用於:
這使得社交工程攻擊更具規模與說服力。
另一個關鍵策略是以虛假身份取得遠端工作。
調查顯示,北韓建立了全球性的中介網路,利用被盜或偽造身份申請科技公司的遠端工程師或IT職位。
一旦成功入職,這些人員可以:
大型科技公司已通報攔截數千次此類申請案例,顯示行動規模相當龐大。
研究人員指出,北韓駭客行動越來越常結合技術攻擊與人際滲透。
例如透過員工、合作夥伴或外包人員取得存取權限,這種模式被稱為「離線滲透(offline infiltration)」。
這種混合模式往往能繞過傳統資安防護。
資安公司通常以「群集(cluster)」名稱追蹤北韓駭客行動,而不是單一組織。
其中包括:
公開資料對 FAMOUS CHOLLIMA 或 STARDUST CHOLLIMA 在2025年個別事件中的角色描述較少,但它們被視為北韓整體網路作戰的一部分。
大型竊案發生後,駭客通常會迅速將資金分散到數千個區塊鏈地址。
常見手法包括:
美國與其他政府機構表示,這些網路犯罪活動不只是金融犯罪,而是北韓政權的重要收入來源。
官方聲明指出,這些資金被用來規避國際制裁,並支持彈道飛彈與核武發展計畫。
2025年的紀錄級竊案揭示了幾個重要趨勢:
資安研究人員認為,未來產業需要加強:
隨著加密貨幣持續普及,2025年的攻擊模式顯示:國家支持的網路犯罪很可能長期成為加密產業最大的安全挑戰之一。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
2025年與北韓相關的駭客行動被估計竊取約20.2億美元加密貨幣,其中最大事件是2月對Bybit交易所的14.6億美元攻擊。[4][43]
2025年與北韓相關的駭客行動被估計竊取約20.2億美元加密貨幣,其中最大事件是2月對Bybit交易所的14.6億美元攻擊。[4][43] 研究機構指出攻擊模式正在「工業化」:攻擊次數減少,但單次入侵規模更大,並配合洗錢基礎設施與人員滲透行動。[36][43]
AI社交工程、供應鏈攻擊與假遠端IT工作者網路,使這些行動更難被偵測,也讓各國政府將其視為國安問題。[17][49]