2026年Skynet朝鲜加密货币威胁报告

请注意，本报告中引用的所有数据均为估算值，随着调查推进及新事件披露，相关数据可能会进朝鲜已将加密货币盗窃活动产业化，使其成为国家核心收入来源之一。独立链上研究员DPRKAttributedTheftDPRKOther础设施发起复杂的供应链攻击。朝鲜加密货币威胁报告2核心要点供应链攻击成为朝鲜黑客的典型特征。Bybit事件表明，只要攻破朝鲜的洗钱基础设施已达到产业化规模。Bybit被攻击后的短短一个月内，86.29%的被盗以太坊已被兑换为加密货币盗窃直接为大规模杀伤性武器计划提供资金。联合国监测机构及美国情报评估机构均已证实，窃取加密货币所得的收入，正源源不断地输送给朝鲜的核武器与弹道导弹研发项目。案例中，这些人员甚至直接参与盗取其所任职组织的资金。朝鲜加密货币威胁报告3朝鲜加密货币威胁报告4滑，该政权亟需寻找一条能够完全绕开国际金融体系的替代创收途径。移，最后再通过由同谋或不知情的经纪商组成的网络将资产兑换为法朝鲜黑客并非出于敛财目的以求中饱私囊的普通犯罪分子。AmountLostxIncidentsIncidentsLosses($M)朝鲜加密货币威胁报告5Lazarus组织是一个统称，涵盖了由朝鲜侦察总局统一指挥的多个网络战使用各异的恶意软件与洗钱基础设施，并锁定特攻击集群分类朝鲜加密货币威胁报告6SquidSquad别名：SapphireSleet,DangerousPassword,CryptoCore,APT38,BlueNoroff,AlluringPisces,LeeryTurtle,SnatchCrypto,CryptoMimic,UNC1069,Bl报告以及会议议程。TraderTraitor该集群制造了规模最大的交易所和基础设施遇袭事件。TraderTraitor通过精心伪造的虚假招聘信息和技能核心攻击手段：发布涉及Python、SQL或JavaScript项目的虚假招聘及技能测试。提ContagiousInterview这是一个规模迅速扩张的社会工程学攻击集群。该集群主要通过虚假面试和恶意代码库锁定开发者。受害者往往是在回应招聘启事或猎头联络后，被要求完成编程测试。测试代码暗藏植入后门的npm包或Python模朝鲜加密货币威胁报告7AppleJeus朝鲜IT工作者中提供情报或协助盗窃行动。他们凭借赚取的薪水资助大规模杀伤性武朝鲜加密货币威胁报告8下几个特征使得Lazarus组织在众多威胁行为者中显得与众不同：高度专业化与纪律性步调查一度误判为内部人员所为。鱼叉式网络钓鱼朝鲜黑客在投递攻击载荷之前，会投入大量时间建立信任关系。SquidSquad的伪装者会连续数周扮演虚假击手法比普通的钓鱼活动更加难以被察觉。持续演化Lazarus组织的演化速度往往快于大多数安全目标行业防御姿态的提升以及朝鲜技术能力的不断扩张，该组织的行动重心已经朝鲜加密货币威胁报告9朝鲜加密货币威胁报告均源于目标行业防御姿态的提升、盈利模式的变化以及朝鲜技术能力的不断扩张这三大因素的共同推动。DDoS与破坏性攻击阶段（2007-2014）在将窃取资金作为主要目标之前，朝鲜网络战部队主要致力于政治动机驱动的破坏与阻断行行第三次核试验后国际制裁日益严厉，其黑客行动传统银行基础设施阶段（2014-2017）关系，以及该事件后金融机构全面升级的安全措施，导致这种攻击手段越来越交易所热钱包阶段（2017-2019）第一波针对加密货币的朝鲜黑客行动锁定了最基础的安全漏洞：将DeFi协议与跨链桥阶段（2020-2023）供应链攻击阶段（2024-2025）朝鲜加密货币威胁报告攻击方式攻击执行与后续影响此次攻击手段为鱼叉式网络钓鱼攻击，结合庞大的窃取金额及利用交易所洗白2,000万美元赃款的操作模混币器完成洗钱。朝鲜加密货币威胁报告攻击方式了黑客控制的地址。攻击执行与后续影响进一步加剧了去中心化理念与防范朝鲜洗钱之间矛盾的进一步争论。朝鲜加密货币威胁报告攻击方式攻击者为一个低流动性代币创建交易市场，恶意推高价格制造虚假抵攻击执行与后续影响分钟内抽干了Drift协议流动性池中约2.85亿美元资金。被盗资金迅速通过Solana链上的DEX聚合器兑换为而是拥有完美职业包装背景的第三方中间人。朝鲜加密货币威胁报告朝鲜加密货币威胁报告约15亿美元约2.85亿美元损失金额约6.25亿美元初始访问方式虚假领英招聘供应链攻击(攻破开发者设备)6个月的物理渗透技术攻击手段验证节点密钥窃取通过JS注入篡改用户界面预言机操纵+治理权接管攻击目标层跨链桥共识机制第三方签名界面DeFi治理+预言机系统检测耗时6天数分钟12分钟负责集群TraderTraitorTraderTraitorAppleJeus洗钱方式Tornadocash(4.55亿美元)DEX、跨链桥、混币器、OTCDEX聚合器、跨链桥复杂程度中等(社会工程学攻击)高(多阶段供应链攻击)核心教训撤销冗余权限绝不信任单一签名界面物理接触不等于安全可信攻击黑客都投入了更多资源，同时也使得传统安全防御措施更难察觉。朝鲜加密货币威胁报告下文梳理了贯穿朝鲜各类加密黑客行动的主要攻击方式、恶意软件集群及入侵后的操作：社会工程学防御者必须对Telegram、Discord或领英上任何主动找上门的投资邀约保持极度警惕。虚假招聘信息两个不同的攻击集群采用了截然不同的虚假招聘套路：录用通知PDF或技能测试代码库传播恶意软件。朝鲜加密货币威胁报告虚假视频会议工具恶意代码库朝鲜黑客维护着一个不断庞大的恶意npm包、PyPI模块及GitHub代码库生态。这些工具既包括植交互操作。恶意软件OTTERCOOKIE以及基于Docker的定制攻击载荷。朝鲜加密货币威胁报告及定制PowerShell植入程序。以太隐藏技术INVISIBLEFERRET。黑客将该后门伪装成调用数据，隐藏在发送至销毁地址0x00…dEaD的交易中。行删除。朝鲜加密货币威胁报告入侵后操作朝鲜加密货币威胁报告被盗资产最终必须兑换为法定货币，黑客既会利用自愿配合为朝鲜洗钱的个人。/nehttps://www.mofa.go.jp/files/1朝鲜加密货币威胁报告22变的洗钱战术频发预警。联合国打击网络犯罪公约：该条约旨在简化跨境证据共享流程，阻击影子银行：执法机构正严厉打击协助朝鲜变现USDT等稳定币的东南亚影子银行经纪朝鲜加密货币威胁报告23常通过虚假招聘或技术合作请求进行初步接触，随后发送暗藏恶意软件的编程测试。保护基础设施：鉴于大量攻击直接锁定不同区块链之间的跨链桥或交易所热钱包，实施底层技术加固时提款延迟能让安全团队在资金流入混币服务前及时拦截冻结可疑交易。协议还应对所有管理和治理操作强制设置时间锁。朝鲜加密货币威胁报告24协议遭到内部渗透。利益驱动机制不改变，这种威胁就将长期存在并不断进化。朝鲜加密货币威胁报告25Systems