CrowdStrike：朝鲜黑客2025年窃取20亿美元加密货币

CrowdStrike 周四发布的一份报告显示，朝鲜网络行动者在 2025 年窃取了创纪录的 20.2 亿美元数字资产，较上年增长 51%，其中 Bybit 加密货币交易所被盗 14.6 亿美元是主要推动因素。该报告凸显了平壤如何将网络盗窃转变为工业规模的收入来源，以资助其军事和核计划。

金融服务遭受攻击

CrowdStrike 的《2026年金融服务威胁态势报告》详细指出，金融服务业已成为全球第四大受攻击行业，占所有已观察到对手活动的 12%。过去两年，针对金融机构的手动键盘入侵在全球范围内增加了 43%，在北美增加了 48%，攻击者越来越多地利用窃取的身份和 SaaS 应用程序来逃避检测。

该报告在发布前与 Fortune 分享，将创纪录的 Bybit 盗窃案归咎于 CrowdStrike 追踪的 PRESSURE CHOLLIMA 组织——该组织通过入侵与 SafeWallet 相关的第三方签名提供商实现了供应链攻击。FBI 将此次黑客攻击归因于朝鲜行动者，他们侵入了这家迪拜交易所一名软件开发者的笔记本电脑。

与朝鲜相关的组织还利用人工智能扩大了行动规模。FAMOUS CHOLLIMA 使用 AI 生成的身份入侵加密货币交易所、金融科技平台和消费者银行，使其活动量翻倍；而 STARDUST CHOLLIMA 通过部署合成的招聘人员形象和虚假视频会议环境，将其行动节奏提高了三倍。

佐证证据

区块链安全公司 CertiK 的 Skynet 报告本周早些时候发布，证实了这一威胁的规模。CertiK 发现，2025 年记录的 656 起事件中，加密货币总损失约 34 亿美元，其中与朝鲜相关的行动者造成了约 20.6 亿美元的损失——尽管只占事件数量的 12%，却占了总被盗价值的约 60%。CertiK 还警告称，这一趋势延续到了 2026 年，今年迄今 11 亿美元的损失中有 6.209 亿美元归因于朝鲜组织。

CrowdStrike 反对手行动负责人 Adam Meyers 表示，金融机构现在面临来自四面八方的威胁。“创建令人信服的身份、自动进行侦察以及加速凭证盗窃的成本几乎为零，”他说。CrowdStrike 还指出，在报告期内，有 423 家金融服务组织出现在勒索软件专用泄露网站上，同比增长 27%。

不只是键盘攻击

两份报告都强调了不断演变的攻击手段，已超越传统黑客行为。CertiK 指出，社会工程学仍是主要攻击向量，朝鲜行动者利用虚假工作机会、冒充风险投资以及恶意代码库来获取初始访问权限。Chainalysis 去年 12 月发布的数据显示，朝鲜历史上的加密货币盗窃总额为 67.5 亿美元，CertiK 截至 2026 年初的累计追踪数据证实了这一数字。

韩国国家情报院另行披露，朝鲜黑客的攻击范围已从加密货币平台扩大到国防、IT 和软件供应链。CrowdStrike 的报告呼应了这种扩张，警告说朝鲜的网军现在通过欺诈性的远程雇佣计划，在物理层面嵌入到组织内部——这种策略在过去一年已波及超过 320 家公司。