朝鲜网络间谍不再只是远程威胁

本月针对去中心化交易所(DEX)Drift的2.85亿美元攻击是超过一年以来最大的加密货币黑客攻击,上一次是交易所Bybit损失14亿美元。朝鲜国家支持的黑客被列为这两起攻击的主要嫌疑人。

Drift在周日的X帖子中表示,去年秋天,攻击者伪装成量化交易公司,在一个大型加密货币会议上亲自接触了Drift的协议团队。

该DEX表示:"现在可以确定,这似乎是一种有针对性的方法,该组织的成员在接下来的六个月里,在多个国家的多个主要行业会议上,继续刻意寻找并接触特定的Drift贡献者。"

到目前为止,朝鲜网络间谍一直通过虚拟电话和远程工作在线瞄准加密货币公司。在会议上的面对面接触通常不会引起怀疑,但Drift攻击事件应该足以让与会者重新审视最近活动中建立的联系。

朝鲜将加密货币攻击手段扩展到黑客攻击之外

区块链取证公司TRM Labs将该事件描述为2026年(迄今为止)最大的DeFi黑客攻击,以及Solana历史上第二大攻击事件,仅次于2022年3.26亿美元的Wormhole桥黑客攻击。

根据TRM的说法,最初的接触可以追溯到大约六个月前,但攻击本身可追溯到3月中旬。攻击者首先从Tornado Cash转移资金并部署CarbonVote Token(CVT),同时使用社会工程学说服多重签名者批准授予提升权限的交易。

然后,他们通过铸造大量供应并增加交易活动来模拟真实需求,从而为CVT制造可信度。Drift的预言机接收到信号并将该代币视为合法资产。

当预先批准的交易在4月1日执行时,CVT被接受作为抵押品,提款限额增加,资金以包括USDC在内的真实资产形式被提取。

相关:朝鲜间谍失误,在虚假求职面试中暴露关系

根据TRM的说法,后续洗钱的速度和激进程度超过了Bybit黑客攻击。

人们普遍认为,朝鲜正在使用大规模加密货币盗窃(如Drift和Bybit攻击)以及长期策略,包括在科技和加密货币公司安插远程工作人员以产生稳定收入。联合国安理会表示,这些资金被用于支持该国的武器计划。

安全研究员Taylor Monahan表示,对DeFi协议的渗透可以追溯到"DeFi之夏",并补充说约有40个协议与疑似朝鲜特工有过接触。

朝鲜官方媒体周四报道称,该国测试了一种电磁武器和一种名为火星-11的短程弹道导弹,配备了集束弹药弹头。

渗透网络推动稳定的加密货币收入

一项单独的调查揭示了与朝鲜相关的IT工作者网络如何通过长期渗透产生数百万美元。

ZachXBT分享的从匿名来源获得的数据显示,该网络伪装成开发人员并渗透到加密货币和科技公司,每月产生约100万美元,自11月以来累计超过350万美元。

该组织使用伪造的身份获得工作,通过共享系统转移付款,然后将资金兑换成法币,并通过Payoneer等平台发送到中国银行账户。

相关:你是自由职业者吗?朝鲜间谍可能正在利用你

该行动依赖于基本基础设施,包括一个带有共同密码的共享网站和追踪收入的内部排行榜。

这些特工使用VPN和伪造文件公开申请职位,指向一种长期战略,即安插特工以获取稳定收入。

随着渗透策略蔓延,防御措施不断演进

Cointelegraph在2025年由Heiner García领导的调查中遇到了类似的计划,他与一名疑似特工联系了数月。

Cointelegraph后来参与了García对一名自称"Motoki"的嫌疑人的虚拟面试,该人声称自己是日本人。在未能用其所谓的母语方言介绍自己后,该嫌疑人愤怒地退出了通话。

调查发现,特工通过远程访问物理位于美国等国家的设备来绕过地理限制。他们不使用VPN,而是直接操作这些机器,使其活动看起来像是本地的。

到目前为止,科技猎头已经意识到,虚拟求职面试另一端的人可能确实是朝鲜网络间谍。一种病毒式防御策略是要求嫌疑人侮辱金正恩。到目前为止,这种策略一直很有效。

然而,随着Drift被当面接触以及García的调查结果显示特工找到绕过地理限制的创造性方法,朝鲜行动者继续适应这种猫鼠游戏的动态。

要求面试者称朝鲜最高领导人为"肥猪"暂时是一种有效的策略,但安全研究人员警告说,这不会永远有效。

杂志:幽灵比特币支票,中国在区块链上追踪税收:亚洲快报