北朝鮮

暗号ウォレットZerionが明らかにしたところによると、北朝鮮のハッカーがAIを使用して長期的なソーシャルエンジニアリング攻撃を行い、会社のホットウォレットから約10万ドルを盗みました。Zerionは、ユーザーの資金、アプリケーション、インフラストラクチャに影響はないと確認し、予防措置としてウェブアプリケーションを自発的に無効化しました。Zerionはまた、攻撃者が一部のチームメンバーのログインセッションや認証情報、会社のホットウォレットの秘密鍵を取得したことを示し、AIがネットワークの脅威の運用方法を変えていると指摘しました。

暗号業界に対する盗作の浸透と攻撃が続く中、セキュリティ専門家は、その背景にある他国のハッカーとの核心的な違いは、暗号資産がその国の軍事費を維持するための重要な直接的な資金源となっていることだと指摘しています。報道によると、最近の Drift Protocol に対する数ヶ月にわたる浸透行動の中で、北朝鮮のハッカーが再び業界に衝撃を与えました。専門家は、このモデルは単なる「資金移転ツール」ではなく、直接的な「略奪的利益」であり、国際制裁を回避し、即座に使用可能なハードカレンシー資金を得るために使用されると述べています。セキュリティ研究者は、ロシアやイランなどの国々とは異なり、北朝鮮は持続可能な対外経済や商品輸出能力がほとんどないため、核兵器や弾道ミサイル計画を支えるための主要な収入源として暗号盗難に依存していると指摘しています。専門家はさらに、北朝鮮のハッカーの攻撃対象が単純なフィッシングから取引所、ウォレットサービス、DeFiプロトコルの重要な権限を持つ者に拡大しており、長期間のソーシャルエンジニアリングや身分偽装の浸透手段を広く採用していると強調しています。ブロックチェーン取引の「一度確認されると不可逆」である特性により、暗号業界は資金の凍結や回収において伝統的な金融システムよりもはるかに弱く、このような攻撃は速度と規模においてより破壊的です。セキュリティ専門家は、このような「長期潜伏＋精密な権力奪取」の攻撃モデルは、業界によってまだ効果的に解決されていないと警告しています。

ZachXBT の報告によると、匿名の情報源が北朝鮮内部の決済サーバーから盗まれたデータを共有し、390 のアカウント、チャット履歴、暗号通貨取引情報を含んでいます。関連する決済ウォレットアドレスは、2025 年 11 月末から現在までに 350 万ドル以上を受け取っており、資金は取引所を通じて引き出されるか、Payoneer などのプラットフォームを介して法定通貨に換金され、中国の銀行口座に入金されています。オンチェーンの追跡によると、内部決済アドレスは既知の北朝鮮の IT 労働者グループと関連があり、その中の一つの Tron 決済アドレスは 2025 年 12 月に Tether によって凍結されました。ユーザーリストに含まれる三つの関連会社は OFAC によって制裁を受けており、Sobaeksu も含まれています。ZachXBT は完全な組織構造図を整理しており、データの範囲は 2025 年 12 月から 2026 年 2 月までをカバーしています。

The Blockの報道によると、Solanaエコシステムの分散型取引所Stabbleは緊急通知を発表し、流動性提供者に対して直ちに資金を引き出すよう促しました。その理由は、北朝鮮国籍の従業員が以前このプロジェクトで働いていたためです。この警告は、オンチェーン探偵ZachXBTの情報によって引き起こされたようで、彼は北朝鮮の開発者がSolana DeFiインフラプロジェクトElementalで数年間働いていたことを明らかにしました。アメリカ当局は以前、北朝鮮の技術者が偽の身分を使って暗号会社に浸透していると警告しており、週末にDrift Protocolはその2.8億ドルの攻撃事件が2024年10月のRadiant Capital攻撃と同じ北朝鮮のハッカーによって実行された可能性が高いと述べました。Stabbleは、北朝鮮の従業員は約1年前に入社したようで、新しいチームが4週間前にプロジェクトを引き継いだと応じ、現在までに攻撃は発生していないと強調し、警告は予防措置に過ぎないとしています。StabbleはLPの安全を確保するために新しい監査を行うと述べています。

Drift ProtocolはXプラットフォームで発表し、2026年4月1日の攻撃事件に関する初期調査の結果、この行動は北朝鮮政府に支持されたハッカー組織UNC4736（別名AppleJeusまたはCitrine Sleet）によって計画されたことが示されています。この組織は2025年秋から、仲介者を暗号会議に派遣したり、偽の量的取引会社を設立したりすることで、Driftの貢献者と6か月間の対面でのインタラクションを行い、悪意のあるコードベースやアプリケーションをダウンロードさせるよう誘導していました。現在、Driftはすべてのプロトコル機能を凍結し、損傷を受けたウォレットをマルチシグから除外しました。Mandiantは深層フォレンジック調査に参加するよう招待されています。調査によると、この行動のテストに使用されたオンチェーンの資金の流れは2024年10月のRadiant Capitalの攻撃者にまで遡ることができます。

CoinDesk の報道によると、ブロックチェーン分析会社 Elliptic は、Drift Protocol が攻撃を受け、2.85 億ドルの損失を被ったと述べており、「複数の兆候」が北朝鮮支援の DPRK ハッカー組織を指し示しています。Elliptic は、オンチェーンの行動、マネーロンダリングの手法、およびネットワークレベルの信号を重点的に分析し、これらが以前の国家関連の攻撃と一致していることを示しています。Elliptic の報告書は次のように指摘しています。「もし確認されれば、これは Elliptic が今年追跡した 18 番目の DPRK 攻撃であり、これまでに 3 億ドル以上が盗まれています。」技術的な観点から、Elliptic はこの攻撃を「計画的で、入念に準備された」と説明しており、主要な攻撃の前に早期のテスト取引と事前に配置されたウォレットが存在していました。攻撃が実行された後、資金は迅速に統合され、クロスチェーンで移転され、流動性の高い資産に変換され、資金の出所を混乱させつつも制御を維持するための組織的で再現可能なマネーロンダリングプロセスが形成されました。この事件は 10 種類以上の資産タイプに関与しており、資金は Solana からイーサリアムおよび他のチェーンにクロスチェーンで移転され、クロスチェーンの追跡能力の重要性がさらに浮き彫りになっています。Drift Protocol は Solana ブロックチェーン上で最大の分散型永久契約取引プラットフォームであり、そのトークンはハッカー攻撃を受けて以来 40% 以上下落し、約 0.06 ドルとなっています。

Ledgerの最高技術責任者チャールズ・ギルメットは、Drift Protocolの今回の脆弱性を利用した攻撃手法が2025年のBybitハッカー事件と同様であると述べ、後者は北朝鮮に関連するハッカーと広く考えられていると指摘しました。ギルメットは、今回の攻撃はどのスマートコントラクトにも対して行われていないことを指摘し、攻撃者が長期間にわたりマルチシグ署名者のデバイスに浸透し、悪意のある取引を承認するように誘導したと述べました。署名者は常に自分が合法的な操作を承認していると思っていた可能性があります。彼は、問題の根源は人員と運営レベルのセキュリティの欠如にあり、コード自体ではないと強調しました。

The Block の報道によると、暗号通貨の電子商取引およびギフトカード会社 Bitrefill がネットワーク攻撃を受け、北朝鮮支援のハッカー組織 Lazarus Group によるものと疑われています。攻撃は、従業員のノートパソコンが侵入されたことから始まり、ハッカーは一部のホットウォレットの資金を盗み、サプライヤーに対して疑わしい調達を行いました。攻撃者は Bitrefill のより広範なインフラにも侵入し、一部のデータベースや特定の暗号通貨ウォレットにアクセスしました。その結果、約 18,500 件の購入記録がアクセスされ、メールアドレス、暗号支払いアドレス、IP アドレスなどの限られた顧客情報が含まれています。その中で約 1,000 件の記録の暗号顧客名が露出リスクにさらされており、会社は関連する個人に連絡を取っています。Bitrefill は、ほとんどの購入に KYC を強制しておらず、KYC に関するデータは外部の KYC 提供者によってのみ保管されており、会社のシステムにはバックアップがありません。調査によると、攻撃者はデータベース全体を抽出することはなく、盗むことができるターゲットを探るために限られたクエリを実行したことがわかりました。これには、暗号通貨やギフトカードの在庫が含まれています。会社は「自己負担」で運転資本の損失を負い、zeroShadow、SEAL911 などのセキュリティチームと協力して対応しています。現在、支払い、在庫、およびアカウント機能はほぼ正常に回復しており、売上も回復しています。

ビットコイン決済サービスプロバイダーの Bitrefill は X プラットフォームで、2026 年 3 月 1 日にネットワーク攻撃を受け、顧客データが漏洩したことを発表しました。攻撃は、従業員の侵害されたノートパソコンから発生し、一部のデータベースと暗号通貨ウォレットが攻撃者にアクセスされました。調査によると、今回の攻撃手法は北朝鮮 DPRK Lazarus/Bluenoroff ハッカーグループが過去に暗号企業に対して行った攻撃と非常に似ています。約 18,500 件の購入記録には限られた顧客情報（メールアドレス、暗号決済アドレス、IP メタデータ）が含まれており、その中の約 1,000 件の記録の顧客名情報は暗号化されて保存されていますが、アクセスされる可能性があります。Bitrefill は、顧客が特別な操作を行う必要はないが、異常な情報に注意することを推奨しています。Bitrefill は、現在関連システムを閉鎖して隔離し、セキュリティ専門家、オンチェーンアナリスト、法執行機関と協力しており、ほぼ正常な運営に戻っています。会社は、ビジネスが長期的に利益を上げており、資金が十分であるため、今回の損失を吸収できると強調し、内部アクセス制御、監視、緊急対応メカニズムを含むネットワークセキュリティ対策を引き続き強化していくと述べています。

アメリカ財務省外国資産管理局（OFAC）は、北朝鮮が計画したIT労働者詐欺計画に関与したとして、6名の個人と2つの団体に制裁を課すことを発表しました。この計画から得られた収入は、北朝鮮の武器プロジェクトの資金に使用されています。制裁対象の団体には、北朝鮮の企業Amnokgang Technology Development Companyとベトナムの企業Quangvietdnbg International Services Company Limitedが含まれています。後者のCEOであるNguyen Quang Vietは、暗号通貨を通じてこのネットワークのために250万ドルをマネーロンダリングしたとされています。Do Phi Khanh、Hoang Van Nguyen、Yun Song Guk、Hoang Minh Quang、York Louis Celestino Herreraもこのネットワークに関与した疑いで制裁を受けています。この詐欺ネットワークは、北朝鮮、ベトナム、ラオス、スペインで運営されています。制裁措置により、上記の個人および団体のアメリカにおけるすべての資産が凍結され、彼らはアメリカとの金融取引や商業的な往来を禁止されます。OFACはまた、イーサリアムとTronネットワーク上の21の暗号通貨アドレスを制裁リストに追加しました。Chainalysisは、北朝鮮のIT労働者詐欺計画が盗まれた身分や虚構の身分情報を利用して世界の企業で職を得ており、企業ネットワークにマルウェアを植え付けて敏感な情報を盗む可能性があると述べています。

安全研究機関 Ctrl-Alt-Intel が、北朝鮮に関連する疑いのあるハッカーグループが、ステーキングプラットフォーム、取引所ソフトウェアプロバイダー、暗号取引所に対して攻撃を仕掛けたことを明らかにしました。攻撃者は、React2Shell 脆弱性（CVE-2025-55182）および取得した AWS アクセス資格情報を利用してクラウド環境に侵入し、S3、EC2、RDS、EKS、ECR などのリソースを列挙し、Secrets Manager、Terraform ファイル、Kubernetes 設定、Docker コンテナからキーと資格情報を抽出しました。研究者によると、攻撃者は 5 つの Docker イメージをダウンロードし、ChainUp 顧客関連のソフトウェアコンポーネントを含むソースコードを盗みました。攻撃インフラストラクチャには、韓国のサーバー 64.176.226[.]36 およびドメイン itemnania[.]com が含まれています。報告書は、この活動が北朝鮮に関連する攻撃の特徴と一致していると述べていますが、帰属の信頼度は中程度であり、AWS 資格情報の出所は明確ではありません。

GoPlus 日本語コミュニティは X プラットフォームで警告を発表し、北朝鮮のハッカーが npm レジストリに 26 の悪意のあるパッケージを公開したと伝えています。これらの悪意のあるパッケージには、インストール中に自動的に実行されるインストールスクリプト ("install.js") が添付されており、"vendor/scrypt-js/version.js" にある悪意のあるコードを実行します。悪意のあるコードは、同じ悪意のある URL を通じてリモートアクセス型トロイの木馬（RAT）をダウンロードして実行し、キーボードの入力を記録したり、クリップボードを盗んだり、ブラウザの認証情報を収集したり、TruffleHog を使用して Git リポジトリの秘密をスキャンしたり、SSH キーを盗んだりするなどの悪意のある行為を実施します。この事件は、「Famous Chollima」と呼ばれる北朝鮮のハッカー活動に関連しています。

链上侦探 ZachXBT は @sexinfochina ユーザーに対して、「このユーザーは、中国のダークウェブ市場 'FreeCity' のネット犯罪者であるという事実を故意に隠しており、Telegram 上で特定の違法サービスを公然と宣伝し、北朝鮮のハッカーのために 5 回のマネーロンダリング取引を故意に行っていた。このユーザーは 2 年前に私に CEX アカウントが凍結された理由を調査するよう依頼し、その結果、チェーン上で 1 億円を超える北朝鮮ハッカーの盗難事件に遡ることが分かった。」と述べました。さらに、ZachXBT は次のように応じました。「このダークウェブプラットフォームのユーザーの多くは中国人ですが、多くの違法取引は東南アジアなど他の場所でも発生しています。」

据 Cointelegraph 报道，隶属于 Google Cloud 的美国网络安全公司 Mandiant 发现朝鲜关联威胁组织正在加大针对加密货币和金融科技公司的社会工程攻击。该威胁组织（代号 UNC1069）部署了七个恶意软件集合，包括新发现的 SILENCELIFT、DEEPBREATH 和 CHROMEPUSH，旨在获取敏感数据并窃取数字资产。攻击者利用被入侵的 Telegram 账户和通过人工智能生成的深度伪造视频进行虚假 Zoom 会议诱骗。自 2018 年以来，Mandiant 一直追踪该组织，但人工智能的进步帮助该组织自 2025 年 11 月起扩大了恶意活动规模。在一起入侵事件中，攻击者使用被盗的加密货币创始人 Telegram 账户发起联系，通过所谓的 ClickFix 攻击诱导受害者执行含有隐藏命令的"故障排除"指令。

据 Cointelegraph 报道，隶属于 Google Cloud 的美国网络安全公司 Mandiant 发现朝鲜关联威胁组织正在加大针对加密货币和金融科技公司的社会工程攻击。该威胁组织（代号 UNC1069）部署了七个恶意软件集合，包括新发现的 SILENCELIFT、DEEPBREATH 和 CHROMEPUSH，旨在获取敏感数据并窃取数字资产。攻击者利用被入侵的 Telegram 账户和通过人工智能生成的深度伪造视频进行虚假 Zoom 会议诱骗。自 2018 年以来，Mandiant 一直追踪该组织，但人工智能的进步帮助该组织自 2025 年 11 月起扩大了恶意活动规模。在一起入侵事件中，攻击者使用被盗的加密货币创始人 Telegram 账户发起联系，通过所谓的 ClickFix 攻击诱导受害者执行含有隐藏命令的"故障排除"指令。

据 Decrypt 报道，谷歌旗下安全团队 Mandiant 近日发布报告警告称，与朝鲜相关的黑客组织正利用 AI 生成的深度伪造视频和虚假 Zoom 会议，对加密货币及金融科技公司发起更具针对性的网络攻击。報告によると、UNC1069（またはCryptoCore）と呼ばれるハッカー組織は最近、金融テクノロジー企業に侵入し、ハッキングされたTelegramアカウントを通じて偽のZoom会議を開催し、その会議で有名な暗号通貨の幹部のディープフェイク動画を使用して信頼を得ようとしました。攻撃者は「音声の問題」を口実にして、被害者に悪意のあるコマンドを実行させ、最終的にそのシステムに7つの異なるマルウェアファミリーを展開し、資格情報、ブラウザデータ、セッショントークンを盗むことを目的としています。この組織は主に暗号通貨業界の企業や個人をターゲットにしており、ソフトウェア会社、ベンチャーキャピタル機関、その従業員を含んでいます。

朝鮮に関連するハッカー組織は、暗号業界の関係者に対する攻撃手法を継続的に強化しており、AI生成のディープフェイクビデオ通話を通じて、被害者が知っているか信頼している人物になりすまし、悪意のあるソフトウェアをインストールさせるよう誘導しています。BTC Pragueの共同創設者であるMartin Kuchařは、攻撃者が侵害されたTelegramアカウントを利用してビデオ通話を開始し、「Zoomの音声問題を修正する」という理由で、被害者に偽装されたプラグインをインストールさせることで、デバイスの完全な制御権を取得することを明らかにしました。セキュリティ研究機関Huntressは、この攻撃パターンが以前に明らかにされた暗号開発者に対する行動と高度に一致していることを指摘しており、悪意のあるスクリプトはmacOSデバイス上で多段階感染を実行し、バックドアを植え付け、キーボード入力を記録し、クリップボードの内容や暗号ウォレットの資産を盗むことができます。研究者たちは、この一連の攻撃が北朝鮮国家支援のハッカー組織Lazarus Group（別名BlueNoroff）に起因することを高く確信しています。ブロックチェーンセキュリティ会社SlowMistの情報セキュリティ責任者は、この種の攻撃には異なる行動において明らかな再利用の特徴があり、特定のウォレットや暗号関係者をターゲットにしていると述べています。分析によれば、ディープフェイクと音声クローン技術の普及に伴い、画像やビデオは身元の信頼性の確かな根拠としては難しくなっており、暗号業界は警戒を強化し、多重検証とセキュリティ対策を強化する必要があります。

据市场消息，安全公司 Recorded Future 最新研究显示，朝鲜关联黑客组织 PurpleBravo 通过虚假招聘面试，针对人工智能、加密货币及金融服务公司的 3100 多个 IP 地址发起网络间谍活动。该组织伪装成招聘人员或开发者，以技术面试为由诱使目标执行恶意代码。攻击者自称来自加密或科技公司，要求求职者审查代码、克隆存储库或完成编程任务。安全研究人员已识别出来自南亚、北美等地区的 20 家受害机构。该组织使用多个别名，并利用虚假的乌克兰敖德萨身份进行伪装。攻击中使用了 PylangGhost 和 GolangGhost 等远程访问木马，可自动窃取浏览器凭证与 Cookies。黑客还通过恶意 GitHub 仓库、Astrill VPN 以及 17 个服务提供商托管其恶意软件服务器。此外，调查发现相关 Telegram 频道在售卖 LinkedIn 和 Upwork 账号，攻击者亦曾与加密货币交易平台 MEXC Exchange 互动。