朝鮮

ChainCatcher 消息，以太坊基金會近期發布 ETH Rangers 安全項目總結報告，披露在為期 6 個月的安全資助計畫中，研究人員共識別出約 100 名疑似國家資助的網路行動人員，其中包括來自朝鮮的滲透者，已在多個 Web3 項目中活動。報告顯示，相關調查通過"Ketman Project"等項目推進，研究人員向約 53 個區塊鏈項目發出預警，揭示這些人員以虛假身份滲透開發團隊，並參與資金流轉及技術崗位工作。同時，部分相關資金已被凍結，規模達數十萬美元級別。安全團隊還將相關情報納入對 Lazarus Group 的威脅分析體系，並在 DEF CON 等安全會議中進行披露，顯示國家級網路攻擊正持續滲透加密行業基礎設施。整體成果方面，該計畫累計凍結或追回資金超 580 萬美元，報告或記錄漏洞超過 785 個，並處理 36 起安全事件，顯示當前以太坊生態面臨的安全威脅已從單純漏洞攻擊，升級至包含國家級行為體的系統性風險。此外，報告指出，朝鮮相關黑客還通過"遠程 IT 工作者"等方式滲透項目，涉及帳戶接管、自由職業平台滲透及資金轉移等多種攻擊路徑，已成為行業重點防範對象。以太坊基金會強調，去中心化網路的安全需要"去中心化防禦"，未來將持續支持安全研究、威脅情報及人才培養，以應對不斷升級的國家級網路威脅。

ChainCatcher 消息，据 Cointelegraph 報導，以太坊基金會表示，其資助的 Ketman 項目在 6 個月內識別出 100 名潛伏於 Web3 組織的朝鮮 IT 人員，並向約 53 個項目發出預警，提示其可能雇用了相關人員。該項目聚焦加密行業中的"虛假開發者"問題，屬於 ETH Rangers 公共安全資助計劃的一部分。Ketman 還開發了用於識別可疑 GitHub 活動的開源檢測工具，並與 Security Alliance 共同參與制定識別朝鮮 IT 人員的行業識別框架。

ChainCatcher 消息，加密錢包 Zerion 披露，朝鮮黑客使用 AI 進行長期社交工程攻擊，從公司熱錢包中盜取約 10 萬美元。Zerion 確認用戶資金、應用及基礎設施未受影響，已主動禁用網頁應用作為預防措施。Zerion 還表示，攻擊者獲取了部分團隊成員已登錄的會話和憑證以及公司熱錢包私鑰，並指出 AI 正在改變網絡威脅的運作方式。

ChainCatcher 消息，隨著抄襲針對加密行業的滲透與攻擊持續升級，安全專家指出，其與其他國家背景黑客的核心差異在於：加密資產已成為該國維持軍費的重要直接融資來源。據報導，在近期針對 Drift Protocol 的長達數月滲透行動中，北韓黑客再次引發行業震動。專家表示，該模式並非單純"資金轉移工具"，而是直接"掠奪式獲利"，用於繞過國際制裁並獲取即時可用的硬通貨資金。安全研究人員指出，與俄羅斯、伊朗等國家不同，North Korea 幾乎缺乏可持續對外經濟與商品出口能力，因此更依賴加密盜竊作為核心收入來源，用於支持核武與彈道導彈計劃。專家還強調，北韓黑客攻擊目標已從簡單釣魚擴展至交易所、錢包服務及 DeFi 協議關鍵權限持有者，並普遍採用長周期社工與身份偽裝滲透手段。由於區塊鏈交易"一旦確認即不可逆"的特性，加密行業在資金凍結與追回方面遠弱於傳統金融體系，使此類攻擊在速度與規模上更具破壞力。安全人士警告，這類"長期潛伏+精準奪權"的攻擊模式仍未被行業有效解決。

ChainCatcher 消息，据 ZachXBT 披露，一匿名信源共享了從朝鮮內部支付伺服器竊取的數據，涵蓋 390 個帳戶、聊天記錄及加密貨幣交易信息。相關支付錢包地址自 2025 年 11 月底至今共收到逾 350 萬美元，資金經由交易所轉出或通過 Payoneer 等平台兌換為法幣存入中國銀行帳戶。鏈上追蹤顯示，內部支付地址與已知朝鮮 IT 工作者集群存在關聯，其中一個 Tron 支付地址已於 2025 年 12 月被 Tether 凍結。用戶列表中三家關聯公司已被 OFAC 制裁，包括 Sobaeksu。ZachXBT 已整理完整組織架構圖，數據範圍覆蓋 2025 年 12 月至 2026 年 2 月。

ChainCatcher 消息，据 The Block 報導，Solana 生態去中心化交易所 Stabble 發布緊急通知，敦促流動性提供者立即提取資金，原因是一名朝鮮籍員工此前曾在該項目工作。這一警告似乎由鏈上偵探 ZachXBT 的信息觸發，他披露一名朝鮮開發者曾在 Solana DeFi 基礎設施項目 Elemental 工作多年。美國當局此前已發出警告，稱朝鮮技術人員使用虛假身份滲透加密公司，週末 Drift Protocol 稱其 2.8 億美元攻擊事件很可能由與 2024 年 10 月 Radiant Capital 攻擊相同的朝鮮黑客實施。Stabble 回應稱，該朝鮮員工似乎是一年前入職，新團隊已於四週前接管項目，並強調目前尚未發生任何攻擊，警告僅為預防措施。Stabble 表示將進行新的審計以確保 LP 安全。

ChainCatcher 消息，Drift Protocol 在 X 平台發文表示，針對 2026 年 4 月 1 日攻擊事件的初步調查顯示，該行動系受朝鮮政府支持的黑客組織 UNC4736（又名 AppleJeus 或 Citrine Sleet）策劃。該組織自 2025 年秋季起，通過派遣中間人參加加密會議、建立虛假量化交易公司等方式，與 Drift 貢獻者進行了長達六個月的面對面互動並誘導其下載惡意代碼庫或應用程序。目前 Drift 已凍結所有協議功能，並將受損錢包移出多重簽名。Mandiant 已受邀參與深度取證調查。調查證實，用於測試該行動的鏈上資金流向可追溯至 2024 年 10 月的 Radiant Capital 攻擊者。

ChainCatcher 消息，据 CoinDesk 报道，區塊鏈分析公司 Elliptic 表示，Drift Protocol 遭攻擊事件損失 2.85 億美元，"多個跡象"指向朝鮮支持的 DPRK 黑客組織。Elliptic 重點分析了鏈上行為、洗錢手法及網絡層面信號，均與此前的國家關聯攻擊相吻合。Elliptic 報告指出："若得到確認，這將是 Elliptic 今年追蹤的第 18 起 DPRK 攻擊行動，迄今共盜取逾 3 億美元。"技術層面，Elliptic 分析將此次攻擊描述為"有預謀、精心佈局"，在主要攻擊前已有早期測試交易和預先佈置的錢包。攻擊執行後，資金被迅速整合並通過跨鏈轉移，轉換為流動性更高的資產，形成了一套有組織、可重複的洗錢流程，旨在混淆資金來源同時保持控制權。此次事件涉及超過十種資產類型，資金從 Solana 跨鏈轉移至以太坊及其他鏈，進一步凸顯了跨鏈溯源能力的重要性。Drift Protocol 是 Solana 區塊鏈上最大的去中心化永續合約交易平台，其代幣自遭黑客攻擊以來已下跌逾 40% 至約 0.06 美元。

ChainCatcher 消息，Ledger 首席技術官 Charles Guillemet 發文表示，Drift Protocol 此次漏洞利用所採用的攻擊手法與 2025 年 Bybit 駭客事件如出一轍，後者被廣泛認為與朝鮮相關聯的駭客有關。Guillemet 指出，此次攻擊並未針對任何智能合約，而是攻擊者通過長期滲透多簽簽名者的設備，誘騙其批准惡意交易，簽名者可能始終以為自己在授權合法操作。他強調，問題根源在於人員與運營層面的安全缺失，而非代碼本身。

ChainCatcher 消息，比特幣支付服務商 Bitrefill 在 X 平台發文披露於 2026 年 3 月 1 日遭受網路攻擊導致客戶數據洩露，攻擊源自一名員工被入侵的筆記本電腦，並導致部分資料庫和加密貨幣錢包被攻擊者訪問。調查顯示，此次攻擊手法與朝鮮 DPRK Lazarus/Bluenoroff 黑客組織過去針對加密企業的攻擊高度相似，約 18,500 條購買記錄涉及有限客戶信息（郵箱、加密支付地址及 IP 元數據），其中約 1,000 條記錄的客戶姓名信息被加密存儲，但可能被訪問。Bitrefill 表示，客戶無需採取特別操作，但建議警惕異常信息。Bitrefill 補充表示，目前已關閉相關系統進行隔離，並與安全專家、鏈上分析師及執法部門合作，現幾乎已恢復正常運營。公司強調，業務長期盈利且資金充足，可吸收此次損失，並將持續強化網路安全措施，包括內部訪問控制、監控與應急響應機制。

ChainCatcher 消息，美國財政部外國資產控制辦公室（OFAC）宣布對 6 名個人和 2 個實體實施制裁，指控其參與由朝鮮策劃的 IT 工人欺詐計劃，該計劃所得收入用於資助朝鮮武器項目。被制裁實體包括朝鮮企業 Amnokgang Technology Development Company 及越南企業 Quangvietdnbg International Services Company Limited，後者 CEO Nguyen Quang Viet 被指控通過加密貨幣為該網絡洗錢 250 萬美元。Do Phi Khanh、Hoang Van Nguyen、Yun Song Guk、Hoang Minh Quang 及 York Louis Celestino Herrera 也因涉嫌參與該網絡被制裁。該欺詐網絡在朝鮮、越南、老撾及西班牙運營。制裁措施凍結上述人員及實體在美全部資產，並禁止其與美國進行任何金融交易或商業往來。OFAC 同時將以太坊和 Tron 網絡上的 21 個加密貨幣地址列入制裁名單。Chainalysis 表示，朝鮮 IT 工人欺詐計劃依賴竊取的身份和虛構的身份信息在全球企業中獲取職位，並可能在公司網絡中植入惡意軟件以竊取敏感信息。

ChainCatcher 消息，安全研究機構 Ctrl-Alt-Intel 披露，一組疑似與朝鮮有關的黑客針對質押平台、交易所軟體供應商及加密交易所發起攻擊。攻擊者利用 React2Shell 漏洞（CVE-2025-55182）及已獲取的 AWS 訪問憑證入侵雲環境，枚舉 S3、EC2、RDS、EKS、ECR 等資源，並從 Secrets Manager、Terraform 檔案、Kubernetes 配置及 Docker 容器中提取密鑰和憑證。研究人員稱，攻擊者下載 5 個 Docker 鏡像並竊取源代碼，其中包括 ChainUp 客戶相關軟體組件。攻擊基礎設施涉及韓國伺服器 64.176.226[.]36 及域名 itemnania[.]com。報告稱該活動與朝鮮相關攻擊特徵一致，但歸因信心度為中等，AWS 憑證來源未明確。

ChainCatcher 消息，GoPlus 中文社區在 X 平台發布預警稱，朝鮮黑客向 npm 註冊表發布了一組 26 個惡意軟體包，這些惡意軟體包都附帶一個安裝腳本 ("install.js")，該腳本會在軟體包安裝過程中自動執行，進而運行位於 "vendor/scrypt-js/version.js" 中的惡意代碼。惡意代碼會透過同一惡意 URL 下載並執行遠程訪問木馬（RAT），實施鍵盤記錄、剪貼板竊取、瀏覽器憑據收集、TruffleHog 秘密掃描 Git 倉庫和 SSH 金鑰竊取等惡意行為。此次事件與一個名為 "Famous Chollima" 的朝鮮黑客活動相關。

ChainCatcher 消息，鏈上偵探 ZachXBT 針對 @sexinfochina 用戶發文稱，"該用戶故意隱瞞了自己是運營中國暗網市場 'FreeCity' 的網絡罪犯這一事實，其在 Telegram 上公開宣傳某些非法服務，還明知故犯地為朝鮮黑客進行了 5 次洗錢交易。該用戶兩年前讓我調查一個 CEX 賬戶凍結的原因，結果發現鏈上追溯到一起價值過億的朝鮮黑客盜竊案。"此外，ZachXBT 回應道："雖然該暗網平台的用戶多是中國人，但很多非法交易發生在東南亞等其他地方。"

ChainCatcher 消息，据 Cointelegraph 報導，隸屬於 Google Cloud 的美國網絡安全公司 Mandiant 發現朝鮮關聯威脅組織正在加大針對加密貨幣和金融科技公司的社會工程攻擊。該威脅組織（代號 UNC1069）部署了七個惡意軟件集合，包括新發現的 SILENCELIFT、DEEPBREATH 和 CHROMEPUSH，旨在獲取敏感數據並竊取數字資產。攻擊者利用被入侵的 Telegram 賬戶和通過人工智能生成的深度偽造視頻進行虛假 Zoom 會議誘騙。自 2018 年以來，Mandiant 一直追蹤該組織，但人工智能的進步幫助該組織自 2025 年 11 月起擴大了惡意活動規模。在一起入侵事件中，攻擊者使用被盜的加密貨幣創始人 Telegram 賬戶發起聯繫，通過所謂的 ClickFix 攻擊誘導受害者執行含有隱藏命令的"故障排除"指令。

ChainCatcher 消息，据 Cointelegraph 報導，隸屬於 Google Cloud 的美國網絡安全公司 Mandiant 發現朝鮮關聯威脅組織正在加大針對加密貨幣和金融科技公司的社會工程攻擊。該威脅組織（代號 UNC1069）部署了七個惡意軟件集合，包括新發現的 SILENCELIFT、DEEPBREATH 和 CHROMEPUSH，旨在獲取敏感數據並竊取數字資產。攻擊者利用被入侵的 Telegram 賬戶和通過人工智能生成的深度偽造視頻進行虛假 Zoom 會議誘騙。自 2018 年以來，Mandiant 一直追蹤該組織，但人工智能的進步幫助該組織自 2025 年 11 月起擴大了惡意活動規模。在一起入侵事件中，攻擊者使用被盜的加密貨幣創始人 Telegram 賬戶發起聯繫，通過所謂的 ClickFix 攻擊誘導受害者執行含有隱藏命令的"故障排除"指令。

ChainCatcher 消息，据 Decrypt 報導，谷歌旗下安全團隊 Mandiant 近日發布報告警告稱，與朝鮮相關的黑客組織正利用 AI 生成的深度偽造視頻和虛假 Zoom 會議，對加密貨幣及金融科技公司發起更具針對性的網絡攻擊。報告指出，被稱為 UNC1069（或 CryptoCore）的黑客組織近期入侵一家金融科技公司時，通過被劫持的 Telegram 賬戶發起虛假 Zoom 會議，並在會議中使用偽造的知名加密貨幣高管深度偽造視頻騙取信任。攻擊者以"音頻故障"為借口，誘使受害者運行惡意命令，最終在其系統中部署了 7 個不同的惡意軟件家族，旨在竊取憑證、瀏覽器數據及會話令牌。該組織主要針對加密貨幣行業的企業與個人，包括軟件公司、風投機構及其員工。

ChainCatcher 消息，與朝鮮有關聯的黑客組織正持續升級其針對加密行業從業者的攻擊手法，通過 AI 生成的深度偽造視頻通話，冒充受害者熟悉或信任的人士，誘導其安裝惡意軟件。BTC Prague 聯合創始人 Martin Kuchař 披露，攻擊者利用被入侵的 Telegram 帳號發起視頻通話，並以"修復 Zoom 音頻問題"為由，誘使受害者安裝偽裝成插件的惡意程序，從而獲取設備的完全控制權。安全研究機構 Huntress 指出，該攻擊模式與其此前披露的針對加密開發者的行動高度一致，惡意腳本可在 macOS 設備上執行多階段感染，包括植入後門、記錄鍵盤輸入、竊取剪貼板內容及加密錢包資產。研究人員已將該系列攻擊高度確信歸因於朝鮮國家支持的黑客組織 Lazarus Group（又稱 BlueNoroff）。區塊鏈安全公司 SlowMist 的信息安全負責人表示，此類攻擊在不同行動中存在明顯復用特徵，目標集中於特定錢包和加密從業人員。分析認為，隨著深度偽造與語音克隆技術普及，圖像和視頻已難以作為身份真實性的可靠依據，加密行業需提高警惕，加強多重驗證與安全防護措施。

ChainCatcher 消息，据市場消息，安全公司 Recorded Future 最新研究顯示，朝鮮關聯黑客組織 PurpleBravo 通過虛假招聘面試，針對人工智能、加密貨幣及金融服務公司的 3100 多個 IP 地址發起網絡間諜活動。該組織偽裝成招聘人員或開發者，以技術面試為由誘使目標執行惡意代碼。攻擊者自稱來自加密或科技公司，要求求職者審查代碼、克隆存儲庫或完成編程任務。安全研究人員已識別出來自南亞、北美等地區的 20 家受害機構。該組織使用多個別名，並利用虛假的烏克蘭敖德薩身份進行偽裝。攻擊中使用了 PylangGhost 和 GolangGhost 等遠程訪問木馬，可自動竊取瀏覽器憑證與 Cookies。黑客還通過惡意 GitHub 倉庫、Astrill VPN 以及 17 個服務提供商托管其惡意軟件伺服器。此外，調查發現相關 Telegram 頻道在售賣 LinkedIn 和 Upwork 帳號，攻擊者亦曾與加密貨幣交易平台 MEXC Exchange 互動。