朝鲜背景黑客组织被指主导巨额加密货币盗取案

近期曝光的Drift协议网络安全事故引发行业震动，初步评估显示攻击造成的经济损失超过2.7亿美元。该协议开发方最新通报指出，此次袭击系由一个疑似受朝鲜支持的高级持续性威胁组织策划，其行动周期长达六个月，采用多层隐蔽策略突破系统防御。

伪装身份渗透：从会议现场到核心信任圈

攻击者于2025年末借参加一场知名加密行业峰会之机进入目标生态。他们以量化交易机构代表身份现身，展现出高度专业化的技术背景与合规操作经验，逐步赢得内部成员的信任。

利用社交工程与真实资金建立可信关系

自2025年10月起，该团体通过Telegram渠道主动参与社区讨论，发布典型DeFi策略建议，增强自身可信度。在2025年12月至2026年1月期间，累计向协议注入超百万美元资金，借此与关键决策者建立稳定互动关系。

后续数月，攻击团队借助全球范围内的线下技术交流活动，深化与核心开发者的个人联系，这种基于人际信任的渗透成为最终突破防线的核心条件。

技术分析表明，攻击主要依赖两类手段：一是通过苹果TestFlight平台分发伪装成开发工具的钱包应用，绕过常规安全检测；二是利用VSCode与Cursor等主流代码编辑器的未修复漏洞，在用户打开特定文件时实现设备远程控制。

上述路径使攻击者获得必要的多重签名权限，并在系统中埋设恶意指令，潜伏逾七日后于4月1日统一激活，导致全部资金被快速转移。

现有证据链指向代号为UNC4736的组织，其过往曾以“AppleJeus”和“Citrine Sleet”名义开展多起加密资产攻击，已被多个安全机构列为高危威胁实体。

值得注意的是，实际出现在公开场合的个体可能并非朝鲜籍人员，而是使用高度伪造的身份信息与精心构建的职业履历进行伪装，进一步增加了溯源难度。

事件发生后，Drift团队呼吁全行业重新审视多重签名机制的安全边界，强调必须加强设备端防护与权限管理流程。他们指出：“当前威胁环境已远超传统防御体系应对能力，亟需全面升级安全架构。”