北韓駭客如何在2025年偷走20.2億美元加密貨幣

威脅情報研究指出，此次攻擊與**軟體供應鏈被植入惡意程式（trojanized software）**有關。CrowdStrike將執行該行動的駭客群集追蹤為 PRESSURE CHOLLIMA，並認為攻擊者透過被污染的開發流程向目標散布惡意工具。

一旦取得信任系統的存取權限，駭客便能直接從交易所基礎設施中轉移大量加密資產。

攻擊次數減少，但單次收益更高

區塊鏈分析顯示，2025年北韓相關團體盜走的 20.2億美元，比前一年增加約 51%，但攻擊事件數量反而下降。

研究人員指出，這反映出策略轉變：

• 不再進行大量小型駭客事件
• 改為鎖定大型交易所與金融基礎設施
• 單次攻擊追求「十億美元級」的影響

安全公司 CertiK 將這種模式稱為**「工業化的加密貨幣犯罪」**——有組織地分工進行入侵、竊取與洗錢。

2025年攻擊潮的關鍵戰術

1. 供應鏈攻擊

Bybit事件顯示，攻擊者越來越常利用軟體信任關係入侵目標，而不是直接攻擊交易所。

當駭客控制開發工具、程式依賴庫或更新流程時，他們可以散布帶有惡意程式的版本。企業在正常更新時，便可能主動安裝後門程式。

這類供應鏈攻擊之所以危險，是因為它利用了整個軟體生態系的信任機制。

2. AI強化社交工程

威脅情報報告指出，攻擊者越來越常利用生成式AI工具來提升詐騙效率。

AI可用於：

• 生成更逼真的釣魚郵件
• 建立可信的假身份
• 自動蒐集目標企業資訊

這使得社交工程攻擊更具規模與說服力。

3. 假遠端IT員工

另一個關鍵策略是以虛假身份取得遠端工作。

調查顯示，北韓建立了全球性的中介網路，利用被盜或偽造身份申請科技公司的遠端工程師或IT職位。

一旦成功入職，這些人員可以：

• 取得內部系統合法存取權
• 收集憑證與敏感資料
• 協助後續入侵或資金洗錢

大型科技公司已通報攔截數千次此類申請案例，顯示行動規模相當龐大。

4. 人員滲透與社交操作

研究人員指出，北韓駭客行動越來越常結合技術攻擊與人際滲透。

例如透過員工、合作夥伴或外包人員取得存取權限，這種模式被稱為「離線滲透（offline infiltration）」。

這種混合模式往往能繞過傳統資安防護。

專門化駭客群組的角色

資安公司通常以「群集（cluster）」名稱追蹤北韓駭客行動，而不是單一組織。

其中包括：

• PRESSURE CHOLLIMA：CrowdStrike認為該群集與Bybit供應鏈攻擊有關。
• 其他DPRK相關群集：多個團體與更大的 Lazarus 生態系有關，涉及間諜活動、金融竊盜與基礎設施入侵。

公開資料對 FAMOUS CHOLLIMA 或 STARDUST CHOLLIMA 在2025年個別事件中的角色描述較少，但它們被視為北韓整體網路作戰的一部分。

竊得資金如何被洗白

大型竊案發生後，駭客通常會迅速將資金分散到數千個區塊鏈地址。

常見手法包括：

• 使用加密貨幣混幣服務（mixers）
• 透過去中心化交易所（DEX）轉換資產
• 使用跨鏈橋（cross‑chain bridges）轉移資產

部分分析顯示，在重大竊案中，數週內就可能洗白大部分資金。

為何各國政府將其視為國安問題

美國與其他政府機構表示，這些網路犯罪活動不只是金融犯罪，而是北韓政權的重要收入來源。

官方聲明指出，這些資金被用來規避國際制裁，並支持彈道飛彈與核武發展計畫。

因此，執法與情報機構正加強追蹤洗錢網路並打擊相關基礎設施。

對加密產業的更大警訊

2025年的紀錄級竊案揭示了幾個重要趨勢：

• 國家級駭客正將加密平台視為戰略金融目標。
• 攻擊結合技術漏洞、人員滲透與社交欺騙。
• 單一事件的損失規模已達十億美元等級。

資安研究人員認為，未來產業需要加強：

• 軟體供應鏈安全
• 遠端員工身份驗證
• 區塊鏈交易監控

隨著加密貨幣持續普及，2025年的攻擊模式顯示：國家支持的網路犯罪很可能長期成為加密產業最大的安全挑戰之一。