朝鮮のハッカー

暗号ウォレットZerionが明らかにしたところによると、北朝鮮のハッカーがAIを使用して長期的なソーシャルエンジニアリング攻撃を行い、会社のホットウォレットから約10万ドルを盗みました。Zerionは、ユーザーの資金、アプリケーション、インフラストラクチャに影響はないと確認し、予防措置としてウェブアプリケーションを自発的に無効化しました。Zerionはまた、攻撃者が一部のチームメンバーのログインセッションや認証情報、会社のホットウォレットの秘密鍵を取得したことを示し、AIがネットワークの脅威の運用方法を変えていると指摘しました。

CoinDesk の報道によると、ブロックチェーン分析会社 Elliptic は、Drift Protocol が攻撃を受け、2.85 億ドルの損失を被ったと述べており、「複数の兆候」が北朝鮮支援の DPRK ハッカー組織を指し示しています。Elliptic は、オンチェーンの行動、マネーロンダリングの手法、およびネットワークレベルの信号を重点的に分析し、これらが以前の国家関連の攻撃と一致していることを示しています。Elliptic の報告書は次のように指摘しています。「もし確認されれば、これは Elliptic が今年追跡した 18 番目の DPRK 攻撃であり、これまでに 3 億ドル以上が盗まれています。」技術的な観点から、Elliptic はこの攻撃を「計画的で、入念に準備された」と説明しており、主要な攻撃の前に早期のテスト取引と事前に配置されたウォレットが存在していました。攻撃が実行された後、資金は迅速に統合され、クロスチェーンで移転され、流動性の高い資産に変換され、資金の出所を混乱させつつも制御を維持するための組織的で再現可能なマネーロンダリングプロセスが形成されました。この事件は 10 種類以上の資産タイプに関与しており、資金は Solana からイーサリアムおよび他のチェーンにクロスチェーンで移転され、クロスチェーンの追跡能力の重要性がさらに浮き彫りになっています。Drift Protocol は Solana ブロックチェーン上で最大の分散型永久契約取引プラットフォームであり、そのトークンはハッカー攻撃を受けて以来 40% 以上下落し、約 0.06 ドルとなっています。

Ledgerの最高技術責任者チャールズ・ギルメットは、Drift Protocolの今回の脆弱性を利用した攻撃手法が2025年のBybitハッカー事件と同様であると述べ、後者は北朝鮮に関連するハッカーと広く考えられていると指摘しました。ギルメットは、今回の攻撃はどのスマートコントラクトにも対して行われていないことを指摘し、攻撃者が長期間にわたりマルチシグ署名者のデバイスに浸透し、悪意のある取引を承認するように誘導したと述べました。署名者は常に自分が合法的な操作を承認していると思っていた可能性があります。彼は、問題の根源は人員と運営レベルのセキュリティの欠如にあり、コード自体ではないと強調しました。

The Block の報道によると、暗号通貨の電子商取引およびギフトカード会社 Bitrefill がネットワーク攻撃を受け、北朝鮮支援のハッカー組織 Lazarus Group によるものと疑われています。攻撃は、従業員のノートパソコンが侵入されたことから始まり、ハッカーは一部のホットウォレットの資金を盗み、サプライヤーに対して疑わしい調達を行いました。攻撃者は Bitrefill のより広範なインフラにも侵入し、一部のデータベースや特定の暗号通貨ウォレットにアクセスしました。その結果、約 18,500 件の購入記録がアクセスされ、メールアドレス、暗号支払いアドレス、IP アドレスなどの限られた顧客情報が含まれています。その中で約 1,000 件の記録の暗号顧客名が露出リスクにさらされており、会社は関連する個人に連絡を取っています。Bitrefill は、ほとんどの購入に KYC を強制しておらず、KYC に関するデータは外部の KYC 提供者によってのみ保管されており、会社のシステムにはバックアップがありません。調査によると、攻撃者はデータベース全体を抽出することはなく、盗むことができるターゲットを探るために限られたクエリを実行したことがわかりました。これには、暗号通貨やギフトカードの在庫が含まれています。会社は「自己負担」で運転資本の損失を負い、zeroShadow、SEAL911 などのセキュリティチームと協力して対応しています。現在、支払い、在庫、およびアカウント機能はほぼ正常に回復しており、売上も回復しています。

ビットコイン決済サービスプロバイダーの Bitrefill は X プラットフォームで、2026 年 3 月 1 日にネットワーク攻撃を受け、顧客データが漏洩したことを発表しました。攻撃は、従業員の侵害されたノートパソコンから発生し、一部のデータベースと暗号通貨ウォレットが攻撃者にアクセスされました。調査によると、今回の攻撃手法は北朝鮮 DPRK Lazarus/Bluenoroff ハッカーグループが過去に暗号企業に対して行った攻撃と非常に似ています。約 18,500 件の購入記録には限られた顧客情報（メールアドレス、暗号決済アドレス、IP メタデータ）が含まれており、その中の約 1,000 件の記録の顧客名情報は暗号化されて保存されていますが、アクセスされる可能性があります。Bitrefill は、顧客が特別な操作を行う必要はないが、異常な情報に注意することを推奨しています。Bitrefill は、現在関連システムを閉鎖して隔離し、セキュリティ専門家、オンチェーンアナリスト、法執行機関と協力しており、ほぼ正常な運営に戻っています。会社は、ビジネスが長期的に利益を上げており、資金が十分であるため、今回の損失を吸収できると強調し、内部アクセス制御、監視、緊急対応メカニズムを含むネットワークセキュリティ対策を引き続き強化していくと述べています。

安全研究機関 Ctrl-Alt-Intel が、北朝鮮に関連する疑いのあるハッカーグループが、ステーキングプラットフォーム、取引所ソフトウェアプロバイダー、暗号取引所に対して攻撃を仕掛けたことを明らかにしました。攻撃者は、React2Shell 脆弱性（CVE-2025-55182）および取得した AWS アクセス資格情報を利用してクラウド環境に侵入し、S3、EC2、RDS、EKS、ECR などのリソースを列挙し、Secrets Manager、Terraform ファイル、Kubernetes 設定、Docker コンテナからキーと資格情報を抽出しました。研究者によると、攻撃者は 5 つの Docker イメージをダウンロードし、ChainUp 顧客関連のソフトウェアコンポーネントを含むソースコードを盗みました。攻撃インフラストラクチャには、韓国のサーバー 64.176.226[.]36 およびドメイン itemnania[.]com が含まれています。報告書は、この活動が北朝鮮に関連する攻撃の特徴と一致していると述べていますが、帰属の信頼度は中程度であり、AWS 資格情報の出所は明確ではありません。

GoPlus 日本語コミュニティは X プラットフォームで警告を発表し、北朝鮮のハッカーが npm レジストリに 26 の悪意のあるパッケージを公開したと伝えています。これらの悪意のあるパッケージには、インストール中に自動的に実行されるインストールスクリプト ("install.js") が添付されており、"vendor/scrypt-js/version.js" にある悪意のあるコードを実行します。悪意のあるコードは、同じ悪意のある URL を通じてリモートアクセス型トロイの木馬（RAT）をダウンロードして実行し、キーボードの入力を記録したり、クリップボードを盗んだり、ブラウザの認証情報を収集したり、TruffleHog を使用して Git リポジトリの秘密をスキャンしたり、SSH キーを盗んだりするなどの悪意のある行為を実施します。この事件は、「Famous Chollima」と呼ばれる北朝鮮のハッカー活動に関連しています。

链上侦探 ZachXBT は @sexinfochina ユーザーに対して、「このユーザーは、中国のダークウェブ市場 'FreeCity' のネット犯罪者であるという事実を故意に隠しており、Telegram 上で特定の違法サービスを公然と宣伝し、北朝鮮のハッカーのために 5 回のマネーロンダリング取引を故意に行っていた。このユーザーは 2 年前に私に CEX アカウントが凍結された理由を調査するよう依頼し、その結果、チェーン上で 1 億円を超える北朝鮮ハッカーの盗難事件に遡ることが分かった。」と述べました。さらに、ZachXBT は次のように応じました。「このダークウェブプラットフォームのユーザーの多くは中国人ですが、多くの違法取引は東南アジアなど他の場所でも発生しています。」

据 Cointelegraph 报道，隶属于 Google Cloud 的美国网络安全公司 Mandiant 发现朝鲜关联威胁组织正在加大针对加密货币和金融科技公司的社会工程攻击。该威胁组织（代号 UNC1069）部署了七个恶意软件集合，包括新发现的 SILENCELIFT、DEEPBREATH 和 CHROMEPUSH，旨在获取敏感数据并窃取数字资产。攻击者利用被入侵的 Telegram 账户和通过人工智能生成的深度伪造视频进行虚假 Zoom 会议诱骗。自 2018 年以来，Mandiant 一直追踪该组织，但人工智能的进步帮助该组织自 2025 年 11 月起扩大了恶意活动规模。在一起入侵事件中，攻击者使用被盗的加密货币创始人 Telegram 账户发起联系，通过所谓的 ClickFix 攻击诱导受害者执行含有隐藏命令的"故障排除"指令。

据 Cointelegraph 报道，隶属于 Google Cloud 的美国网络安全公司 Mandiant 发现朝鲜关联威胁组织正在加大针对加密货币和金融科技公司的社会工程攻击。该威胁组织（代号 UNC1069）部署了七个恶意软件集合，包括新发现的 SILENCELIFT、DEEPBREATH 和 CHROMEPUSH，旨在获取敏感数据并窃取数字资产。攻击者利用被入侵的 Telegram 账户和通过人工智能生成的深度伪造视频进行虚假 Zoom 会议诱骗。自 2018 年以来，Mandiant 一直追踪该组织，但人工智能的进步帮助该组织自 2025 年 11 月起扩大了恶意活动规模。在一起入侵事件中，攻击者使用被盗的加密货币创始人 Telegram 账户发起联系，通过所谓的 ClickFix 攻击诱导受害者执行含有隐藏命令的"故障排除"指令。

据 Decrypt 报道，谷歌旗下安全团队 Mandiant 近日发布报告警告称，与朝鲜相关的黑客组织正利用 AI 生成的深度伪造视频和虚假 Zoom 会议，对加密货币及金融科技公司发起更具针对性的网络攻击。報告によると、UNC1069（またはCryptoCore）と呼ばれるハッカー組織は最近、金融テクノロジー企業に侵入し、ハッキングされたTelegramアカウントを通じて偽のZoom会議を開催し、その会議で有名な暗号通貨の幹部のディープフェイク動画を使用して信頼を得ようとしました。攻撃者は「音声の問題」を口実にして、被害者に悪意のあるコマンドを実行させ、最終的にそのシステムに7つの異なるマルウェアファミリーを展開し、資格情報、ブラウザデータ、セッショントークンを盗むことを目的としています。この組織は主に暗号通貨業界の企業や個人をターゲットにしており、ソフトウェア会社、ベンチャーキャピタル機関、その従業員を含んでいます。

朝鮮に関連するハッカー組織は、暗号業界の関係者に対する攻撃手法を継続的に強化しており、AI生成のディープフェイクビデオ通話を通じて、被害者が知っているか信頼している人物になりすまし、悪意のあるソフトウェアをインストールさせるよう誘導しています。BTC Pragueの共同創設者であるMartin Kuchařは、攻撃者が侵害されたTelegramアカウントを利用してビデオ通話を開始し、「Zoomの音声問題を修正する」という理由で、被害者に偽装されたプラグインをインストールさせることで、デバイスの完全な制御権を取得することを明らかにしました。セキュリティ研究機関Huntressは、この攻撃パターンが以前に明らかにされた暗号開発者に対する行動と高度に一致していることを指摘しており、悪意のあるスクリプトはmacOSデバイス上で多段階感染を実行し、バックドアを植え付け、キーボード入力を記録し、クリップボードの内容や暗号ウォレットの資産を盗むことができます。研究者たちは、この一連の攻撃が北朝鮮国家支援のハッカー組織Lazarus Group（別名BlueNoroff）に起因することを高く確信しています。ブロックチェーンセキュリティ会社SlowMistの情報セキュリティ責任者は、この種の攻撃には異なる行動において明らかな再利用の特徴があり、特定のウォレットや暗号関係者をターゲットにしていると述べています。分析によれば、ディープフェイクと音声クローン技術の普及に伴い、画像やビデオは身元の信頼性の確かな根拠としては難しくなっており、暗号業界は警戒を強化し、多重検証とセキュリティ対策を強化する必要があります。

据市场消息，安全公司 Recorded Future 最新研究显示，朝鲜关联黑客组织 PurpleBravo 通过虚假招聘面试，针对人工智能、加密货币及金融服务公司的 3100 多个 IP 地址发起网络间谍活动。该组织伪装成招聘人员或开发者，以技术面试为由诱使目标执行恶意代码。攻击者自称来自加密或科技公司，要求求职者审查代码、克隆存储库或完成编程任务。安全研究人员已识别出来自南亚、北美等地区的 20 家受害机构。该组织使用多个别名，并利用虚假的乌克兰敖德萨身份进行伪装。攻击中使用了 PylangGhost 和 GolangGhost 等远程访问木马，可自动窃取浏览器凭证与 Cookies。黑客还通过恶意 GitHub 仓库、Astrill VPN 以及 17 个服务提供商托管其恶意软件服务器。此外，调查发现相关 Telegram 频道在售卖 LinkedIn 和 Upwork 账号，攻击者亦曾与加密货币交易平台 MEXC Exchange 互动。

Chainalysis が木曜日に発表した報告書によると、北朝鮮の暗号通貨ハッキング活動は 2025 年に 202 億ドルを盗み出し、再び記録を更新しました。これまで、北朝鮮がハッキングや盗難（ビットコインやイーサリアムなど）を通じて盗んだ暗号通貨の最高額は 130 億ドルでした。これにより、北朝鮮が累計で盗んだ暗号通貨の総額は約 675 億ドルに達しました。世界で盗まれた暗号通貨の総額は 340 億ドルに上昇しました。その大部分は、今年のドバイの暗号通貨取引所 Bybit に対する攻撃に起因しています。Bybit の CEO は、アメリカの秘密サービスによると、これらの北朝鮮のエリート政府ハッカーグループに属するハッカーが 2 月に約 150 億ドルを盗み、その大部分はイーサリアムであると述べています。国連や民間の研究者は長年にわたり、国際制裁を受け、少数の国としか関係を持たない北朝鮮が、核兵器やミサイル計画の資金を調達するために暗号通貨を盗むハッカーを展開していると非難しています。Chainalysis は、犯罪者がマネーロンダリングを行った盗まれた資金を追跡するなど、暗号通貨取引ネットワークの地図を描く企業の一つです。Chainalysis の報告書は、これらのプラットフォームが機関リソースと専門のセキュリティチームを持っているにもかかわらず、この根本的なセキュリティの課題により、依然として攻撃を受けやすいと指摘しています。戦略国際問題研究所の戦略技術プロジェクトディレクターである Matt Pearl は、北朝鮮が大部分で世界から隔絶されており、「ならず者国家」であるため、その行動を阻止することは困難であると述べています。報告書によると、一部の盗難は、北朝鮮のハッカーが国際企業で遠隔技術職を得るために詐欺手段をますます利用していることが原因である可能性が高いとされています。このアクセス権により、彼らはハッカー仲間に暗号通貨の鍵を盗む機会を提供し、暗号通貨を平壌に移転することができます。Pearl は、北朝鮮がすでに極度の制裁を受けていることを考えると、デジタル資産への攻撃を通じて軍事行動を資金調達するのを阻止する他の方法はほとんどないと述べています。

ネットセキュリティの非営利団体 Security Alliance は、現在、北朝鮮のハッカーによる詐欺の試みが毎日複数発見されていると警告しています。これらの攻撃は、偽の Zoom 会議を通じて被害者を誘い込むものです。この詐欺手法は、「偽の Zoom 通話」において被害者にマルウェアをダウンロードさせ、パスワードや秘密鍵を含む敏感な情報を盗み取るものです。セキュリティ研究者の Taylor Monahan は、この戦術がユーザーから 3 億ドル以上の資産を奪っていると警告しています。詐欺は通常、Telegram アカウントから送信されたメッセージから始まります。このアカウントはしばしば被害者の「知人」に属しています。知人の身分のため、被害者は警戒心を緩めます。その後、会話は自然に「Zoom で昔話をする」招待に移行します。通話が始まると、ハッカーは音声の問題が発生したふりをし、「パッチファイル」と称するものを送信します。被害者がそのファイルを開くと、デバイスにマルウェアが植え付けられます。その後、ハッカーは「また今度」と言ってこの偽の通話を終了します。

据 Hackread.com 报道，网络安全公司 Hudson Rock 在分析一份 LummaC2 信息窃取恶意软件日志时，发现了一台被感染的设备，其操作者疑似为朝鲜国家支持的黑客组织中的恶意软件开发者。该设备曾被用于搭建支持 2025 年 2 月加密货币交易所 Bybit 价值 14 亿美元盗窃案的基础设施。分析表明，该设备上发现的凭据与攻击前注册的、用于仿冒 Bybit 的域名存在关联。设备本身配置高端，安装了 Visual Studio、Enigma Protector 等开发工具，以及 Astrill VPN、Slack、Telegram 等通信和数据存储类应用。其活动痕迹还显示，攻击者为实施钓鱼攻击，购买了相关域名并准备了虚假 Zoom 安装程序。这一发现罕见地揭示了朝鲜支持的黑客行动中资产共享的内部运作细节。

AhnLab が発表した『2025年ネットワーク脅威トレンドと2026年セキュリティ展望』レポートによると、北朝鮮背景のハッカー組織 Lazarus が過去12ヶ月で最も多く言及されており、主に「標的型フィッシング」を利用して攻撃を実施し、講演会の招待や面接のリクエストなどのメールに偽装してターゲットを誘導しています。レポートでは、Lazarus が今年2月21日の Bybit のハッキング事件（損失14億ドル）や最近の韓国取引所 Upbit の3000万ドルの脆弱性攻撃など、複数の重大な攻撃の主要な容疑者と見なされていると述べています。AhnLab は、セキュリティを向上させるために、企業は定期的なセキュリティ監査、迅速なパッチ更新、従業員教育の強化を含む多層防御システムを構築する必要があると述べています。同社はまた、個人ユーザーに対して多要素認証の使用、未知のリンクや添付ファイルの慎重な取り扱い、個人情報の過度な露出の回避、公式チャネルからのみコンテンツをダウンロードすることを推奨しています。AhnLab は、AI アプリケーションの普及に伴い、攻撃者が識別が難しいフィッシングメール、偽装ページ、ディープフェイクコンテンツを生成しやすくなるため、今後関連する脅威がさらに複雑化する可能性があると指摘しています。（Cointelegraph）

韓国の仮想資産取引所 Upbit がハッカー攻撃を受け、445億ウォンの仮想資産が盗まれたと、韓国聯合ニュースが報じています。現在、北朝鮮の情報総局傘下のハッカー組織 Lazarus Group がこの事件の背後にいると強く疑われています。現地時間、韓国聯合ニュースは情報通信技術（ICT）業界および韓国政府の関連部門から、北朝鮮の情報総局に属するハッカー組織 Lazarus Group が大きな犯行の疑いがあるため、当局が Upbit に対して現場検査を行っていることを確認しました。このハッカー組織は、2019年に Upbit から580億ウォン相当のイーサリアムを盗んだ事件に関与したとされています。政府関係者は「今回の攻撃はサーバーを狙ったものではなく、管理者アカウントを盗まれたか、管理者になりすまして資金移動が行われた可能性が高い」と述べています。また、「現在把握している状況から判断すると、6年前のハッカーもこの方法で攻撃を実施したため、今回も同様の手口であると推測される」とも語っています。