朝鲜

ChainCatcher 消息，以太坊基金会近期发布 ETH Rangers 安全项目总结报告，披露在为期 6 个月的安全资助计划中，研究人员共识别出约 100 名疑似国家资助的网络行动人员，其中包括来自朝鲜的渗透者，已在多个 Web3 项目中活动。报告显示，相关调查通过“Ketman Project”等项目推进，研究人员向约 53 个区块链项目发出预警，揭示这些人员以虚假身份渗透开发团队，并参与资金流转及技术岗位工作。同时，部分相关资金已被冻结，规模达数十万美元级别。安全团队还将相关情报纳入对 Lazarus Group 的威胁分析体系，并在 DEF CON 等安全会议中进行披露，显示国家级网络攻击正持续渗透加密行业基础设施。整体成果方面，该计划累计冻结或追回资金超 580 万美元，报告或记录漏洞超过 785 个，并处理 36 起安全事件，显示当前以太坊生态面临的安全威胁已从单纯漏洞攻击，升级至包含国家级行为体的系统性风险。此外，报告指出，朝鲜相关黑客还通过“远程 IT 工作者”等方式渗透项目，涉及账户接管、自由职业平台渗透及资金转移等多种攻击路径，已成为行业重点防范对象。以太坊基金会强调，去中心化网络的安全需要“去中心化防御”，未来将持续支持安全研究、威胁情报及人才培养，以应对不断升级的国家级网络威胁。

ChainCatcher 消息，据 Cointelegraph 报道，以太坊基金会表示，其资助的 Ketman 项目在 6 个月内识别出 100 名潜伏于 Web3 组织的朝鲜 IT 人员，并向约 53 个项目发出预警，提示其可能雇佣了相关人员。该项目聚焦加密行业中的“虚假开发者”问题，属于 ETH Rangers 公共安全资助计划的一部分。Ketman 还开发了用于识别可疑 GitHub 活动的开源检测工具，并与 Security Alliance 共同参与制定识别朝鲜 IT 人员的行业识别框架。

ChainCatcher 消息，加密钱包 Zerion 披露，朝鲜黑客使用 AI 进行长期社交工程攻击，从公司热钱包中盗取约 10 万美元。Zerion 确认用户资金、应用及基础设施未受影响，已主动禁用网页应用作为预防措施。Zerion 还表示，攻击者获取了部分团队成员已登录的会话和凭证以及公司热钱包私钥，并指出 AI 正在改变网络威胁的运作方式。

ChainCatcher 消息，随着抄袭针对加密行业的渗透与攻击持续升级，安全专家指出，其与其他国家背景黑客的核心差异在于：加密资产已成为该国维持军费的重要直接融资来源。据报道，在近期针对 Drift Protocol 的长达数月渗透行动中，北韩黑客再次引发行业震动。专家表示，该模式并非单纯“资金转移工具”，而是直接“掠夺式获利”，用于绕过国际制裁并获取即时可用的硬通货资金。安全研究人员指出，与俄罗斯、伊朗等国家不同，North Korea 几乎缺乏可持续对外经济与商品出口能力，因此更依赖加密盗窃作为核心收入来源，用于支持核武与弹道导弹计划。专家还强调，北韩黑客攻击目标已从简单钓鱼扩展至交易所、钱包服务及 DeFi 协议关键权限持有者，并普遍采用长周期社工与身份伪装渗透手段。由于区块链交易“一旦确认即不可逆”的特性，加密行业在资金冻结与追回方面远弱于传统金融体系，使此类攻击在速度与规模上更具破坏力。安全人士警告，这类“长期潜伏+精准夺权”的攻击模式仍未被行业有效解决。

ChainCatcher 消息，据 ZachXBT 披露，一匿名信源共享了从朝鲜内部支付服务器窃取的数据，涵盖 390 个账户、聊天记录及加密货币交易信息。 相关支付钱包地址自 2025 年 11 月底至今共收到逾 350 万美元，资金经由交易所转出或通过 Payoneer 等平台兑换为法币存入中国银行账户。 链上追踪显示，内部支付地址与已知朝鲜 IT 工作者集群存在关联，其中一个 Tron 支付地址已于 2025 年 12 月被 Tether 冻结。用户列表中三家关联公司已被 OFAC 制裁，包括 Sobaeksu。ZachXBT 已整理完整组织架构图，数据范围覆盖 2025 年 12 月至 2026 年 2 月。

ChainCatcher 消息，据 The Block 报道，Solana 生态去中心化交易所 Stabble 发布紧急通知，敦促流动性提供者立即提取资金，原因是一名朝鲜籍员工此前曾在该项目工作。这一警告似乎由链上侦探 ZachXBT 的信息触发，他披露一名朝鲜开发者曾在 Solana DeFi 基础设施项目 Elemental 工作多年。 美国当局此前已发出警告，称朝鲜技术人员使用虚假身份渗透加密公司，周末 Drift Protocol 称其 2.8 亿美元攻击事件很可能由与 2024 年 10 月 Radiant Capital 攻击相同的朝鲜黑客实施。Stabble 回应称，该朝鲜员工似乎是一年前入职，新团队已于四周前接管项目，并强调目前尚未发生任何攻击，警告仅为预防措施。Stabble 表示将进行新的审计以确保 LP 安全。

ChainCatcher 消息，Drift Protocol 在 X 平台发文表示，针对 2026 年 4 月 1 日攻击事件的初步调查显示，该行动系受朝鲜政府支持的黑客组织 UNC4736（又名 AppleJeus 或 Citrine Sleet）策划。该组织自 2025 年秋季起，通过派遣中间人参加加密会议、建立虚假量化交易公司等方式，与 Drift 贡献者进行了长达六个月的面对面互动并诱导其下载恶意代码库或应用程序。目前 Drift 已冻结所有协议功能，并将受损钱包移出多重签名。Mandiant 已受邀参与深度取证调查。调查证实，用于测试该行动的链上资金流向可追溯至 2024 年 10 月的 Radiant Capital 攻击者。

ChainCatcher 消息，据 CoinDesk 报道，区块链分析公司 Elliptic 表示，Drift Protocol 遭攻击事件损失 2.85 亿美元，“多个迹象”指向朝鲜支持的 DPRK 黑客组织。Elliptic 重点分析了链上行为、洗钱手法及网络层面信号，均与此前的国家关联攻击相吻合。Elliptic 报告指出：“若得到确认，这将是 Elliptic 今年追踪的第 18 起 DPRK 攻击行动，迄今共盗取逾 3 亿美元。”技术层面，Elliptic 分析将此次攻击描述为“有预谋、精心布局”，在主要攻击前已有早期测试交易和预先布置的钱包。攻击执行后，资金被迅速整合并通过跨链转移，转换为流动性更高的资产，形成了一套有组织、可重复的洗钱流程，旨在混淆资金来源同时保持控制权。此次事件涉及超过十种资产类型，资金从 Solana 跨链转移至以太坊及其他链，进一步凸显了跨链溯源能力的重要性。Drift Protocol 是 Solana 区块链上最大的去中心化永续合约交易平台，其代币自遭黑客攻击以来已下跌逾 40% 至约 0.06 美元。

ChainCatcher 消息，Ledger 首席技术官 Charles Guillemet 发文表示，Drift Protocol 此次漏洞利用所采用的攻击手法与 2025 年 Bybit 黑客事件如出一辙，后者被广泛认为与朝鲜相关联的黑客有关。 Guillemet 指出，此次攻击并未针对任何智能合约，而是攻击者通过长期渗透多签签名者的设备，诱骗其批准恶意交易，签名者可能始终以为自己在授权合法操作。他强调，问题根源在于人员与运营层面的安全缺失，而非代码本身。

ChainCatcher 消息，比特币支付服务商 Bitrefill 在 X 平台发文披露于 2026 年 3 月 1 日遭受网络攻击导致客户数据泄露，攻击源自一名员工被入侵的笔记本电脑，并导致部分数据库和加密货币钱包被攻击者访问。调查显示，此次攻击手法与朝鲜 DPRK Lazarus/Bluenoroff 黑客组织过去针对加密企业的攻击高度相似，约 18,500 条购买记录涉及有限客户信息（邮箱、加密支付地址及 IP 元数据），其中约 1,000 条记录的客户姓名信息被加密存储，但可能被访问。Bitrefill 表示，客户无需采取特别操作，但建议警惕异常信息。Bitrefill 补充表示，目前已关闭相关系统进行隔离，并与安全专家、链上分析师及执法部门合作，现几乎已恢复正常运营。公司强调，业务长期盈利且资金充足，可吸收此次损失，并将持续强化网络安全措施，包括内部访问控制、监控与应急响应机制。

ChainCatcher 消息，美国财政部外国资产控制办公室（OFAC）宣布对 6 名个人和 2 个实体实施制裁，指控其参与由朝鲜策划的 IT 工人欺诈计划，该计划所得收入用于资助朝鲜武器项目。 被制裁实体包括朝鲜企业 Amnokgang Technology Development Company 及越南企业 Quangvietdnbg International Services Company Limited，后者 CEO Nguyen Quang Viet 被指控通过加密货币为该网络洗钱 250 万美元。Do Phi Khanh、Hoang Van Nguyen、Yun Song Guk、Hoang Minh Quang 及 York Louis Celestino Herrera 也因涉嫌参与该网络被制裁。该欺诈网络在朝鲜、越南、老挝及西班牙运营。 制裁措施冻结上述人员及实体在美全部资产，并禁止其与美国进行任何金融交易或商业往来。OFAC 同时将以太坊和 Tron 网络上的 21 个加密货币地址列入制裁名单。Chainalysis 表示，朝鲜 IT 工人欺诈计划依赖窃取的身份和虚构的身份信息在全球企业中获取职位，并可能在公司网络中植入恶意软件以窃取敏感信息。

ChainCatcher 消息，安全研究机构 Ctrl-Alt-Intel 披露，一组疑似与朝鲜有关的黑客针对质押平台、交易所软件供应商及加密交易所发起攻击。 攻击者利用 React2Shell 漏洞（CVE-2025-55182）及已获取的 AWS 访问凭证入侵云环境，枚举 S3、EC2、RDS、EKS、ECR 等资源，并从 Secrets Manager、Terraform 文件、Kubernetes 配置及 Docker 容器中提取密钥和凭证。研究人员称，攻击者下载 5 个 Docker 镜像并窃取源代码，其中包括 ChainUp 客户相关软件组件。 攻击基础设施涉及韩国服务器 64.176.226[.]36 及域名 itemnania[.]com。报告称该活动与朝鲜相关攻击特征一致，但归因置信度为中等，AWS 凭证来源未明确。

ChainCatcher 消息，GoPlus 中文社区在 X 平台发布预警称，朝鲜黑客向 npm 注册表发布了一组 26 个恶意软件包，这些恶意软件包都附带一个安装脚本 (“install.js”)，该脚本会在软件包安装过程中自动执行，进而运行位于 “vendor/scrypt-js/version.js” 中的恶意代码。 恶意代码会通过同一恶意 URL 下载并执行远程访问木马（RAT），实施键盘记录、剪贴板窃取、浏览器凭据收集、TruffleHog 秘密扫描 Git 仓库和 SSH 密钥窃取等恶意行为。此次事件与一个名为 “Famous Chollima” 的朝鲜黑客活动相关。

ChainCatcher 消息，链上侦探 ZachXBT 针对 @sexinfochina 用户发文称，“该用户故意隐瞒了自己是运营中国暗网市场 ‘FreeCity’ 的网络罪犯这一事实，其在 Telegram 上公开宣传某些非法服务，还明知故犯地为朝鲜黑客进行了 5 次洗钱交易。该用户两年前让我调查一个 CEX 账户被冻结的原因，结果发现链上追溯到一起价值过亿的朝鲜黑客盗窃案。” 此外，ZachXBT 回应道：“虽然该暗网平台的用户多是中国人，但很多非法交易发生在东南亚等其他地方。”

ChainCatcher 消息，据 Cointelegraph 报道，隶属于 Google Cloud 的美国网络安全公司 Mandiant 发现朝鲜关联威胁组织正在加大针对加密货币和金融科技公司的社会工程攻击。 该威胁组织（代号 UNC1069）部署了七个恶意软件集合，包括新发现的 SILENCELIFT、DEEPBREATH 和 CHROMEPUSH，旨在获取敏感数据并窃取数字资产。攻击者利用被入侵的 Telegram 账户和通过人工智能生成的深度伪造视频进行虚假 Zoom 会议诱骗。 自 2018 年以来，Mandiant 一直追踪该组织，但人工智能的进步帮助该组织自 2025 年 11 月起扩大了恶意活动规模。在一起入侵事件中，攻击者使用被盗的加密货币创始人 Telegram 账户发起联系，通过所谓的 ClickFix 攻击诱导受害者执行含有隐藏命令的“故障排除”指令。

ChainCatcher 消息，据 Decrypt 报道，谷歌旗下安全团队 Mandiant 近日发布报告警告称，与朝鲜相关的黑客组织正利用 AI 生成的深度伪造视频和虚假 Zoom 会议，对加密货币及金融科技公司发起更具针对性的网络攻击。 报告指出，被称为 UNC1069（或 CryptoCore）的黑客组织近期入侵一家金融科技公司时，通过被劫持的 Telegram 账户发起虚假 Zoom 会议，并在会议中使用伪造的知名加密货币高管深度伪造视频骗取信任。 攻击者以“音频故障”为借口，诱使受害者运行恶意命令，最终在其系统中部署了 7 个不同的恶意软件家族，旨在窃取凭证、浏览器数据及会话令牌。该组织主要针对加密货币行业的企业与个人，包括软件公司、风投机构及其员工。

ChainCatcher 消息，与朝鲜有关联的黑客组织正持续升级其针对加密行业从业者的攻击手法，通过 AI 生成的深度伪造视频通话，冒充受害者熟悉或信任的人士，诱导其安装恶意软件。BTC Prague 联合创始人 Martin Kuchař 披露，攻击者利用被入侵的 Telegram 账号发起视频通话，并以“修复 Zoom 音频问题”为由，诱使受害者安装伪装成插件的恶意程序，从而获取设备的完全控制权。安全研究机构 Huntress 指出，该攻击模式与其此前披露的针对加密开发者的行动高度一致，恶意脚本可在 macOS 设备上执行多阶段感染，包括植入后门、记录键盘输入、窃取剪贴板内容及加密钱包资产。研究人员已将该系列攻击高度确信归因于朝鲜国家支持的黑客组织 Lazarus Group（又称 BlueNoroff）。区块链安全公司 SlowMist 的信息安全负责人表示，此类攻击在不同行动中存在明显复用特征，目标集中于特定钱包和加密从业人员。分析认为，随着深度伪造与语音克隆技术普及，图像和视频已难以作为身份真实性的可靠依据，加密行业需提高警惕，加强多重验证与安全防护措施。

ChainCatcher 消息，据市场消息，安全公司 Recorded Future 最新研究显示，朝鲜关联黑客组织 PurpleBravo 通过虚假招聘面试，针对人工智能、加密货币及金融服务公司的 3100 多个 IP 地址发起网络间谍活动。该组织伪装成招聘人员或开发者，以技术面试为由诱使目标执行恶意代码。攻击者自称来自加密或科技公司，要求求职者审查代码、克隆存储库或完成编程任务。安全研究人员已识别出来自南亚、北美等地区的 20 家受害机构。该组织使用多个别名，并利用虚假的乌克兰敖德萨身份进行伪装。攻击中使用了 PylangGhost 和 GolangGhost 等远程访问木马，可自动窃取浏览器凭证与 Cookies。黑客还通过恶意 GitHub 仓库、Astrill VPN 以及 17 个服务提供商托管其恶意软件服务器。此外，调查发现相关 Telegram 频道在售卖 LinkedIn 和 Upwork 账号，攻击者亦曾与加密货币交易平台 MEXC Exchange 互动。