朝鲜关联人员伪装开发者入侵加密机构，涉资超350万美元

一种新型隐蔽攻击路径正威胁加密行业：攻击者利用招聘流程潜入企业内部，以可信工程师身份获取高权限访问，进而实施资金转移与系统破坏。

核心数据泄露源为受控设备感染

据调查，泄露信息源自一台被植入信息窃取程序的朝鲜IT人员终端，其后扩展至聊天日志、账户列表及加密交易流水，覆盖共计390个账户记录。

制裁链条揭示组织网络关联性

美国财政部在2025年7月8日将松光贸易总公司与赛纳尔贸易公司列入名单，认定其参与虚假身份驱动的海外收入计划；次日，索百秀贸易公司亦因类似行为遭秘密制裁。

资金规模依据媒体摘要，尚未完整复现

所谓350万美元金额来源于一篇未被主流线索验证的媒体报道，提及某钱包自2025年11月下旬起异常转账，但该事件在公开审计中未能完全追溯。

渗透手段突破传统防御边界

虚假雇佣者可借助代码库可见性、内部沟通上下文及支付元数据等内部资源快速行动，其操作速度远超依赖外部防火墙的防护体系。

应对策略需重构权限架构

基于已知制裁证据，企业应立即启动基于角色的访问控制机制，明确分离代码提交、部署审批、钱包签名与供应商支付权限，实行默认只读、短期特权提升与多重签名要求。

30天内必须完成的安全强化清单

安全团队须开展代码仓库、构建管道、钱包密钥与云角色的权限审计，清除冗余与越权账户；运维负责人需轮换部署密钥、签名密钥与集成环境凭证，并强制硬件级认证；工程主管应将承包商权限绑定至最小权限模板，变更须经理审批；人力资源与法务部门应在入职离职流程中嵌入活体检测与证件核验节点；财务部门须设置支付目的地异常预警，大额转账执行双重审核。

从被动防御转向主动身份治理

2025年归因于朝鲜的加密资产盗窃总额达20.2亿美元，占全行业损失逾六成。当前事件表明，招聘渠道已成为新型攻击入口。因此，身份验证与权限分割不应视为行政负担，而应作为核心资金保护机制予以制度化。