朝鲜

ChainCatcher 消息，据 Cryptopolitan 报道，网络安全分析师发现了一种名为 RemotePE 的新型无文件远程访问木马 (RAT)。据信与朝鲜有关联的网络犯罪组织 Lazarus Group 正在利用该木马攻击银行和加密货币公司。该木马完全在内存中运行，传统杀毒和取证工具难以检测。攻击者通过 Telegram 冒充交易公司员工，使用伪造的 Calendly 和 Picktime 链接进行社交工程攻击。恶意软件通过 DPAPILoader、RemotePELoader 和 RemotePE 三个阶段链式加载，整个过程不接触文件系统，利用进程挖空、反分析检查和加密 C2 通信规避检测。该恶意软件于 2025 年 9 月首次被发现。2026 年前四个月，Lazarus 组织已窃取约 5.77 亿美元加密资产，占全球加密盗窃总额的 76%。自 2017 年以来，该组织累计窃取金额已达 60 亿美元。

ChainCatcher 消息，据 Cointelegraph 报道，网络安全公司 CrowdStrike 发布的报告显示，2025 年朝鲜黑客和威胁行为者造成的加密资产损失超过 20 亿美元，同比增长 51%，尽管攻击次数有所减少。CrowdStrike 称，朝鲜黑客是针对加密货币用户的最大威胁组织，被盗资金几乎肯定被用于资助该政权的军事计划。 攻击者优先瞄准高价值目标，主要针对 Web3 项目和加密货币交易所，因为被盗资金更容易匿名兑现和转移。今年 4 月，以太坊基金会识别出 100 名朝鲜黑客，Drift Protocol 被朝鲜技术工人渗透并造成 2.8 亿美元损失，这些威胁行为者通过第三方中介进行面对面关系建立。

ChainCatcher 消息，Web3 安全公司 CertiK 发布《Skynet 朝鲜加密威胁报告》。数据显示，自 2016 年至今，朝鲜黑客组织已累计掠夺约 67.5 亿美元数字资产。仅 2025 年，其制造的盗窃案损失便高达 20.6 亿美元，占全球加密行业全年总损失的近 60%（其中包括 15 亿美元的 Bybit 被盗案）。截至 2026 年初，这一威胁趋势仍在延续，其造成的损失占比约为 55%。报告强调，朝鲜黑客的攻击模式已发生根本性转变，正从单纯的代码漏洞利用，升级为结合社会工程学、深层供应链攻击及“物理渗透”的国家级攻击体系。在近期的 Drift 协议事件中，攻击者甚至耗时半年潜伏于线下行业会议，通过真实资金与人际交往建立信任后实施攻击。CertiK 安全专家警告，面对此级别的系统性攻击，单纯的技术防线已显薄弱。加密机构亟需全面落实“零信任”招聘模式，加固第三方供应链，设置资金熔断机制，并联合专业安全机构构建覆盖代码审计、全天候风险监测与链上反洗钱/KYT（了解你的交易）资金追踪的全生命周期防御体系。

ChainCatcher 消息，美国曼哈顿联邦法院法官 Margaret Garnett 批准 Aave 推进 rsETH 攻击事件后的资产恢复计划，允许此前在 Arbitrum 上被冻结的约 7100 万美元 ETH 转移至 Aave 控制的钱包。 法院文件显示，该决定修改了此前针对 Arbitrum DAO 的限制令，允许社区通过链上治理投票完成 ETH 转移，同时豁免参与投票与执行转移者的相关法律责任。此次事件源于 4 月发生的 rsETH 攻击事件，相关攻击被广泛归因于与朝鲜有关联的 Lazarus Group。此前，代表朝鲜恐怖主义受害者家属的律师曾主张冻结相关资产，并尝试将其纳入约 8.77 亿美元未偿判决的赔偿范围。 Arbitrum 社区已在 Snapshot 温度检查投票中，高票支持将被冻结 ETH 返还至 Aave 恢复方案，但实际转移仍需正式链上治理通过。报道指出，该案也是美国相关原告追索朝鲜关联加密资产行动的一部分。除 Arbitrum 外，原告此前还起诉隐私协议 Railgun DAO，并将 Digital Currency Group（DCG）列为被告之一，指控其参与相关治理与经济活动。

ChainCatcher 消息，据 OpenSourceMalware 研究，朝鲜黑客组织 Lazarus 在 “传染性面试” 和 “TaskJacker” 等针对开发者的恶意活动中采用了新手法，将第二阶段加载器隐藏在 Git Hooks 的 pre-commit 脚本中。“传染性面试”是该组织通过伪造加密货币/DeFi 领域招聘流程，诱使开发者克隆恶意代码仓库的系列攻击活动，最终窃取加密资产和凭证。研究员建议，被要求克隆代码仓库作为面试流程一部分的开发者，应警惕此类风险，最好在隔离环境中运行，避免挂载个人浏览器配置、SSH 密钥和加密钱包。

ChainCatcher 消息，据 FinanceFeeds 报道，朝鲜的受害者律师在曼哈顿联邦法院听证会前，试图将 Aave 发生的 rsETH 攻击事件重新定义为 “欺诈” 而非 “盗窃”，以维持对价值 7100 万美元 ETH 的冻结令。 律师辩称，攻击者利用无价值抵押品借入资产且未偿还，属于欺诈性贷款交易，旨在根据《恐怖主义风险保险法》将这些冻结资产用于偿还恐怖主义判决赔偿。 此前，与 Lazarus Group 相关的黑客通过跨链桥漏洞铸造无担保 rsETH 并在 Aave 借出约 2.3 亿美元资产，其中 7100 万美元被 Arbitrum 开发人员拦截。受害者律师同时质疑 Aave 的抗辩资格，指出其服务条款声明不对用户资产拥有控制权。此外，DeFi United 已筹集 3.27 亿美元资金，超过此次争议金额。

ChainCatcher 消息，据 CoinDesk 报道，Drift Protocol 公布了针对 4 月 1 日约 2.95 亿美元安全漏洞的用户恢复计划，该攻击被归因于朝鲜支持的黑客组织。 恢复计划的核心是发行代表已验证用户损失的回执代币，每个代币代表 1 美元已验证损失，持有者可依据随时间累积的恢复池价值进行赎回。恢复池初始资金约 380 万美元，预计将通过交易所收入最高 1.275 亿美元、Tether 支持及合作伙伴最高 2000 万美元等方式增长，直至覆盖约 2.954 亿美元的总损失。 Drift 已冻结约 336 万美元 USDC，并启动了追回资产 10% 的公开赏金。Drift 计划在第二季度以“安全优先”的交易所重新上线。法律追回工作仍在进行中。

ChainCatcher 消息，据 CoinDesk 报道，Ripple 周一宣布将向加密行业威胁情报共享组织 Crypto ISAC 共享其针对朝鲜黑客的内部情报，以帮助企业识别协同渗透行动。 此举背景为加密行业近期遭遇的攻击模式转变。Ripple 表示，“最强的加密安全态势是共享态势。在一家公司未通过背景调查的威胁行为者，同一周内会向另外三家公司投递简历。没有共享情报，每家公司都从零开始”。

ChainCatcher 消息，据 The Block 报道，朝鲜就外界关于其参与加密资产盗窃的指控作出否认，称相关说法为 “荒谬诽谤” 和 “政治工具”。该表态由官方媒体发布，强调将采取必要措施维护国家利益。 然而，区块链分析机构 TRM Labs 数据显示，关联朝鲜的黑客组织已盗取约 5.77 亿美元，占同期全球加密盗窃损失的约 76%。其中包括对 KelpDAO（约 2.92 亿美元）与 Drift Protocol（约 2.85 亿美元）的两起重大攻击事件。 TRM 指出，相关攻击主要与 Lazarus Group 及其子组织有关。自 2017 年以来，朝鲜关联的加密盗窃累计规模已超过 60 亿美元。美国及国际机构普遍认为，这类资金被用于支持军事及导弹项目。与此同时，美国财政部近期已对相关个人与实体实施制裁，涉及 2024 年约 8 亿美元的非法资金流动。

ChainCatcher 消息，MegaETH 主管 PaperImperium 在 X 平台披露纽约南区联邦法院文件显示，美国法院已向 Arbitrum DAO 发布禁制令，要求其不得转移此前在 KelpDAO 黑客事件中被冻结的约 7100 万美元 ETH 资产。 原告方试图将该笔资金用于执行针对朝鲜多年来涉及恐怖主义、绑架等案件的未偿判决赔偿，并已申请以替代送达方式向 Arbitrum DAO 发出法律通知，将其视为可被追责的“合伙组织”。法院文件还指出，Arbitrum DAO 设有由 ARB 持有人治理的 Security Council，具备在紧急情况下采取行动的能力，因此相关成员若拒绝配合，可能面临藐视法庭等法律责任。市场认为，此案或成为美国司法体系直接约束 DAO 治理结构的重要案例，并进一步凸显 DeFi 协议在现实法律框架下的合规压力。

ChainCatcher 消息，据 TRM Labs 的最新报告，朝鲜黑客在 Drift Protocol 和 Kelp DAO 攻击事件中盗取了价值近 6 亿美元的加密货币，占到了总损失额的 76%。TRM Labs 估计，自 2017 年以来，与朝鲜有关联的黑客已从加密协议和项目中盗取了超过 60 亿美元。报告显示，朝鲜黑客造成的损失在全球加密货币黑客攻击损失中所占的份额已从 2020 年和 2021 年的不足 10% 增长到 2022 年的 22%，2023 年的 37%，2024 年的 39%，以及 2025 年的 64%。

ChainCatcher 消息，朝鲜黑客在攻击 Drift Protocol 前，曾与其员工进行数月线下接触与渗透，最终实施加密行业史上最大规模的社会工程学攻击之一，造成约 2.85 亿美元损失。区块链安全公司 TRM Labs 数据显示，2026 年迄今朝鲜黑客已占全部加密货币黑客损失的 76%.

ChainCatcher 消息，区块链情报机构 TRM Labs 最新报告显示，全球加密货币黑客攻击损失中，约 76% 与朝鲜相关组织有关，累计盗取金额约 5.77 亿美元。 朝鲜在全球加密盗窃中的占比持续上升：2022 年为 22%，2023 年 37%，2024 年 39%，2025 年升至 64%，2026 年进一步提升至 76%，自 2017 年以来累计非法获利已超过 60 亿美元。报告指出，这些损失主要来自两起 4 月重大事件：KelpDAO 遭遇的 2.92 亿美元攻击，以及 Drift Protocol 被盗 2.85 亿美元事件，两起攻击合计占同期全部黑客事件约 3%。

ChainCatcher 消息，据网络安全公司 Expel 研究报告披露，其正追踪一个被高度评估为朝鲜（DPRK）国家支持的 APT 组织“HexagonalRodent”，该组织以 Web3 开发者为主要目标，专门窃取加密货币与 NFT 等高价值数字资产。该组织主要通过伪造招聘信息实施攻击——在 LinkedIn 及 Web3 招聘平台发布高薪职位，诱导求职者完成内嵌恶意代码的“技能测试”，利用 VSCode 的 tasks.json 功能在受害者打开项目文件夹时自动执行恶意程序。所使用的恶意软件包括 BeaverTail、OtterCookie 和 InvisibleFerret，具备密码窃取、远程控制及反向 Shell 等功能。值得关注的是，该组织大量借助 ChatGPT、Cursor 等生成式 AI 工具开发恶意软件、构建虚假公司网站及 AI 生成的高管团队，甚至在墨西哥注册了空壳企业以提升攻击可信度。此外，该组织近期首次实施供应链攻击，成功入侵 VSCode 扩展。

ChainCatcher 消息，据 CoinDesk 报道，据 CertiK 监测，Lazarus 集团正在针对金融科技及加密货币行业高管开展名为 Mach-O Man 的攻击行动。该操作利用 ClickFix 社交工程技术，通过发送虚假在线会议邀请，诱导受害者在 Mac 终端粘贴修复指令，从而获取公司及财务系统访问权限。 CertiK 研究员 Natalie Newson 表示，Lazarus Group 过去两周通过 Drift 和 KelpDAO 攻击已窃取超 5 亿美元。Mach-O Man 是由 Lazarus Group 下属 Chollima 部门开发的模块化 macOS 恶意软件工具包，能够在使用后自动删除以规避检测。 此外，已有攻击者通过劫持 DeFi 项目域名并替换为虚假 Cloudflare 消息的方式实施该攻击。

ChainCatcher 消息，以太坊基金会近期发布 ETH Rangers 安全项目总结报告，披露在为期 6 个月的安全资助计划中，研究人员共识别出约 100 名疑似国家资助的网络行动人员，其中包括来自朝鲜的渗透者，已在多个 Web3 项目中活动。报告显示，相关调查通过“Ketman Project”等项目推进，研究人员向约 53 个区块链项目发出预警，揭示这些人员以虚假身份渗透开发团队，并参与资金流转及技术岗位工作。同时，部分相关资金已被冻结，规模达数十万美元级别。安全团队还将相关情报纳入对 Lazarus Group 的威胁分析体系，并在 DEF CON 等安全会议中进行披露，显示国家级网络攻击正持续渗透加密行业基础设施。整体成果方面，该计划累计冻结或追回资金超 580 万美元，报告或记录漏洞超过 785 个，并处理 36 起安全事件，显示当前以太坊生态面临的安全威胁已从单纯漏洞攻击，升级至包含国家级行为体的系统性风险。此外，报告指出，朝鲜相关黑客还通过“远程 IT 工作者”等方式渗透项目，涉及账户接管、自由职业平台渗透及资金转移等多种攻击路径，已成为行业重点防范对象。以太坊基金会强调，去中心化网络的安全需要“去中心化防御”，未来将持续支持安全研究、威胁情报及人才培养，以应对不断升级的国家级网络威胁。

ChainCatcher 消息，据 Cointelegraph 报道，以太坊基金会表示，其资助的 Ketman 项目在 6 个月内识别出 100 名潜伏于 Web3 组织的朝鲜 IT 人员，并向约 53 个项目发出预警，提示其可能雇佣了相关人员。该项目聚焦加密行业中的“虚假开发者”问题，属于 ETH Rangers 公共安全资助计划的一部分。Ketman 还开发了用于识别可疑 GitHub 活动的开源检测工具，并与 Security Alliance 共同参与制定识别朝鲜 IT 人员的行业识别框架。

ChainCatcher 消息，加密钱包 Zerion 披露，朝鲜黑客使用 AI 进行长期社交工程攻击，从公司热钱包中盗取约 10 万美元。Zerion 确认用户资金、应用及基础设施未受影响，已主动禁用网页应用作为预防措施。Zerion 还表示，攻击者获取了部分团队成员已登录的会话和凭证以及公司热钱包私钥，并指出 AI 正在改变网络威胁的运作方式。

ChainCatcher 消息，随着抄袭针对加密行业的渗透与攻击持续升级，安全专家指出，其与其他国家背景黑客的核心差异在于：加密资产已成为该国维持军费的重要直接融资来源。据报道，在近期针对 Drift Protocol 的长达数月渗透行动中，北韩黑客再次引发行业震动。专家表示，该模式并非单纯“资金转移工具”，而是直接“掠夺式获利”，用于绕过国际制裁并获取即时可用的硬通货资金。安全研究人员指出，与俄罗斯、伊朗等国家不同，North Korea 几乎缺乏可持续对外经济与商品出口能力，因此更依赖加密盗窃作为核心收入来源，用于支持核武与弹道导弹计划。专家还强调，北韩黑客攻击目标已从简单钓鱼扩展至交易所、钱包服务及 DeFi 协议关键权限持有者，并普遍采用长周期社工与身份伪装渗透手段。由于区块链交易“一旦确认即不可逆”的特性，加密行业在资金冻结与追回方面远弱于传统金融体系，使此类攻击在速度与规模上更具破坏力。安全人士警告，这类“长期潜伏+精准夺权”的攻击模式仍未被行业有效解决。

ChainCatcher 消息，据 ZachXBT 披露，一匿名信源共享了从朝鲜内部支付服务器窃取的数据，涵盖 390 个账户、聊天记录及加密货币交易信息。 相关支付钱包地址自 2025 年 11 月底至今共收到逾 350 万美元，资金经由交易所转出或通过 Payoneer 等平台兑换为法币存入中国银行账户。 链上追踪显示，内部支付地址与已知朝鲜 IT 工作者集群存在关联，其中一个 Tron 支付地址已于 2025 年 12 月被 Tether 冻结。用户列表中三家关联公司已被 OFAC 制裁，包括 Sobaeksu。ZachXBT 已整理完整组织架构图，数据范围覆盖 2025 年 12 月至 2026 年 2 月。