朝鲜关联技术人才嵌入去中心化金融核心架构

资深网络安全研究员泰勒·莫纳汉指出，具备朝鲜背景的程序员已在去中心化金融生态中持续活跃多年。她在近期推文中强调，这些人员在2020年DeFi热潮期间曾为多个主流协议提供关键代码支持，其简历所列的区块链开发经历普遍真实，表明其贡献具有实质性而非虚构。

关键技术节点渗透与策略演进

莫纳汉在回应具体案例时提及SushiSwap、THORChain、Yearn、Harmony、Ankr及Shiba Inu等知名项目。她特别提到Yearn团队因实施严格的同行评审制度而具备较强防御能力，对新贡献者采取高门槛准入机制，这一做法有效抑制了潜在恶意行为的渗入。

然而，该专家警示称，相关组织的运作模式正在转型，当前可能已启用非朝鲜籍人员执行部分线下协作任务。据估算，此类实体自介入以来，从加密领域非法获取的资产总额已突破67亿美元。

国家主导型网络犯罪呈现规模化特征

朝鲜已成为全球范围内最具威胁的国家支持型黑客力量，其在加密领域的攻击活动持续升级。链上数据显示，仅2025年，朝鲜黑客团伙盗取的数字资产总额达20.2亿美元，同比增幅达51%，占全年服务类漏洞事件总损失的76%。

尽管整体攻击频次下降，但单次行动规模显著扩大。分析认为，这源于国家支持的团队提前部署技术人员，潜伏于交易所与托管机构内部，获取系统权限后实施精准打击。得手资金通常被拆分为低于50万美元的小额交易，借助跨链桥接、混币器及中文金融通道完成洗钱。

新型社会工程攻击手段频繁曝光

安全联盟发现，该类团体近年来广泛采用伪造视频会议的方式进行网络入侵。攻击者常通过已被攻陷的Telegram账号，冒充可信联系人邀请目标加入虚拟会议。会议中播放预录视频营造真实场景，诱导受害者下载伪装成软件更新的恶意程序，从而实现设备远程控制。

一旦成功入侵，攻击者不仅窃取敏感信息，还利用劫持账户进一步扩展攻击范围，形成横向移动链条。

攻击触角延伸至供应链与企业内网

2024年3月1日发生的Bitrefill安全事件被怀疑与朝鲜黑客存在关联。调查显示，攻击者通过受感染员工终端进入系统，获取可深入核心基础设施的凭证，进而侵入数据库并清空热钱包资产，同时借由礼品卡分销网络实现利益变现。

其使用的恶意软件特征、链上资金流动模式以及重复利用的基础设施，均与历史上拉撒路（Lazarus）和Bluenoroff组织的攻击手法高度一致，凸显其战术延续性与组织成熟度。