朝鲜关联技术力量嵌入主流DeFi生态

资深网络安全分析师泰勒·莫纳汉指出，具备朝鲜背景的IT专业人员已在去中心化金融领域持续活跃多年。她强调，在2020年行业高峰期，这些个体曾实质性参与多个知名协议的代码构建与架构设计，其简历中披露的技术履历经核实基本真实，表明其贡献具有实际可验证性，而非单纯虚构身份。

核心项目渗透路径与防御机制对比

在具体案例披露中，莫纳汉提及SushiSwap、THORChain、Yearn Finance、Harmony、Ankr及Shiba Inu等平台均曾出现相关技术人员的身影。她特别分析称，Yearn团队因实施严格的同行评审流程和高门槛准入机制，成为少数能有效识别潜在风险的组织。这一制度性防护措施显著提升了其系统安全性，相较之下其他项目则暴露更多漏洞。

此外，该专家警告，当前策略已进入新阶段——部分操作环节正由非朝鲜籍人员代行，尤其在线下接触与实体协作层面。据估算，此类实体自介入以来，已从加密经济体系中非法获取价值不低于67亿美元的资产。

国家主导型网络犯罪规模持续扩大

朝鲜已成为全球范围内最具影响力的国家级加密攻击源头。链上数据分析显示，仅2025年，其控制的黑客团伙窃取的数字资产总额突破20.2亿美元，较前一年增长51%，占全年所有服务类安全事件总损失的76%。尽管整体攻击频次下降，但单次行动所涉金额呈指数级上升趋势。

其成功关键在于提前部署技术人才潜伏于交易所、托管机构等关键节点，借由内部权限实施精准打击。得手后，资金通常被拆分至低于50万美元的交易单元，借助跨链桥接、混币服务以及中文地区金融渠道完成清洗与变现。

新型社交工程攻击手段频繁曝光

近期安全联盟揭示，攻击者采用伪造视频会议链接的方式实施远程入侵。他们常以受感染的Telegram账户为跳板，冒充可信联系人发起邀请，诱导目标加入伪装成正常更新的视频通话。会议中播放预先录制的画面营造真实性，随后诱导用户下载伪装成系统补丁的恶意程序，从而获得设备完全控制权。

一旦突破防线，攻击者不仅窃取敏感信息，更会利用劫持账号横向扩展攻击范围，形成连锁式破坏。

攻击面延伸至供应链与支付生态

2024年3月1日发生的Bitrefill安全事件，也被怀疑系同一网络集团所为。调查显示，攻击者通过员工终端植入恶意软件，获取可用于访问核心系统的凭证，进而侵入数据库并清空热钱包余额。同时，其利用礼品卡发行链条进行收益转化，实现隐秘套现。

该事件中暴露出的恶意软件行为特征、链上资金流动模式以及基础设施复用情况，与此前拉撒路（Lazarus）及Bluenoroff组织的历史攻击高度一致，进一步证实其攻击框架的延续性与成熟度。