朝鲜作为全球网络安全领域的活跃参与者,其近年来在网络攻击、间谍活动和网络犯罪方面的动向引发了广泛关注。2025年以来,围绕朝鲜黑客组织的新闻频繁登上国际媒体头条,特别是由BleepingComputer等权威网络安全平台持续报道的相关动态,展现出朝鲜网络技术力量的不断增强以及其复杂的网络战策略。朝鲜的网络攻势不仅聚焦于经济利益,还深度介入地缘政治博弈,令全球安全形势愈发紧张。朝鲜的IT劳工问题是理解其网络战略的关键一环。美国财政部外国资产控制办公室(OFAC)相继对多个与朝鲜IT劳务相关的个人和公司实施制裁,原因在于这些实体通过欺诈和非法手段操纵海外组织,为朝鲜政权创造巨额收入。2025年7月和8月,美国政府公布了一系列针对朝鲜IT劳工及其支持网络的行动,制裁对象涵盖了数名北朝鲜籍人员以及相关公司,且因涉嫌助力朝鲜通过IT劳工项目渗透超过300家美国企业,甚至有美国本土人员被判刑协助这一计划,体现出这一网络攻势背后的复杂国际链条。
近来,朝鲜黑客组织如Lazarus、Kimsuky、Andariel等不断用新型恶意软件攻击目标,经常利用npm(Node Package Manager)等软件开发平台传播恶意载荷。XORIndex和XenoRAT等恶意软件被植入数十个npm包,目的是感染开发者系统,从而实现对目标机构的渗透。这些攻击不仅针对技术和金融领域,还瞄准外交机构,尤其是在韩国的外国使馆成为他们的重点目标。此外,北朝鲜的网络攻击手段日趋多样化与隐蔽。以Lazarus集团为代表的高级持续性威胁(APT)团队不仅使用恶意软件,还应用深度伪造技术模拟企业高管,通过伪造Zoom视频会议诱骗员工安装恶意程序。这种创新技术充分展示了朝鲜黑客在社会工程学领域的进步,提高了攻击的成功率。
网络钓鱼和远程控制攻击也成为朝鲜势力攻击加密货币用户和金融机构的重要手段。比如,BlackNoroff(BlueNoroff)利用Zoom远程控制漏洞进行社会工程诈骗,窃取受害者加密钱包资产。此外,‘假面试’攻击活动正在肆虐,针对求职者散布带有信息窃取和后门功能的恶意npm包,反映出朝鲜网络力量对社会工程攻击的不断优化。朝鲜的网络活动不仅限于经济犯罪,还积极参与全球情报收集。其支持的网络间谍组织Konni等在乌克兰冲突背景下加大了对乌克兰政府机构的信息搜集,旨在评估战争风险与形势发展。朝鲜利用网络间谍行动,补充传统情报手段,以增强自身对区域局势的把控力。
作为回应,美国联邦调查局、司法部及财政部联合采取了多项打击措施,包括破坏所谓“笔记本农场”——由朝鲜远程IT工人操纵的账号和设备网络。多州同步执法行动揭露了这一网络筹资项目,在全球范围内削弱了朝鲜的非法资金链条。与此同时,大型加密货币交易所如OKX暂停去中心化交易聚合器服务,防止朝鲜黑客通过复杂资金洗钱活动掩盖犯罪收益。2025年,朝鲜臭名昭著的Lazarus集团被指控策划了价值15亿美元的加密货币盗窃活动,包括2025年5月的1100万美元BitoPro交易所劫案,展现了其网络犯罪能力的升级。除此之外,朝鲜还积极进入勒索软件领域。微软报告指出,名为Moonstone Sleet的朝鲜黑客团体已于部分攻击中使用了Qilin勒索软件,标志着朝鲜网络攻击手段向多样化、高利润的勒索软件交易市场渗透。
各种迹象表明,朝鲜的网络战略更趋成熟,具备从数据窃取、破坏、筹资到情报收集等多重功能。对国家层面的网络安全防御提出了严峻挑战。防范朝鲜网络攻击需要全球协作。各国政府与私营部门需加强情报共享,强化对开发平台如npm的监控,避免恶意软件的传播。另外,对于IT劳务及远程工作的监管也亟待强化,防止成为国家资助的网络行动的隐匿渠道。社区与行业协会在网络安全培训和意识提升方面发挥重要作用,帮助用户识别并规避钓鱼和恶意软件攻击。
新型攻击手法如ClickFix风格的网页交互攻击,绕过传统检测机制,要求防御策略不断更新和升级。近年来,朝鲜在全球网络空间的活跃和影响力提升已成为不可忽视的现实。无论是针对个人求职者的恶意软件感染,还是对金融机构及政府目标的大规模间谍行动,均显示出其网络战备能力的扩张。只有通过持续监测、技术创新、国际合作和执法力度同步提升,才能有效遏制朝鲜网络势力的扩散,保障全球网络空间的安全稳定。未来,随着技术演进与地缘政治复杂程度加深,朝鲜网络威胁或将更加隐蔽且持久。社会各界需高度警惕,并积极构建综合应对体系,以应对这一持续演变的全球网络安全挑战。
。
