北朝鮮のハッカーが2025年に16億ドルの暗号通貨を盗んだ

北朝鮮のハッカーは、偽の求人を利用し、(用の高度なマルウェアを使用してクラウドシステムにアクセスすることで、暗号会社への攻撃を強化しました。Google CloudとWizの報告によると、2025年だけで、北朝鮮に関連するグループは16億ドル以上の暗号通貨を盗んでいます。

2025年下半期のGoogle Cloudの報告によると、UNC4899は北朝鮮のハッカーグループで、積極的に監視されており、ソーシャルネットワークを通じて従業員に信頼を築くことで2社に対して成功した攻撃を行った。

悪意のある者たちは、これらの従業員に「テスト課題」と称するものを送りましたが、それは実際には悪意のあるスクリプトでした。それを実行すると、ハッカーは企業のクラウド環境へのリモートアクセスを取得し、アカウント情報を盗み、暗号取引の処理を担当するノードを特定しました。

両方の攻撃は異なる企業とさまざまなクラウドサービス)、特にGoogle CloudとAWS(を対象としていましたが、結果は同じでした — 数百万ドルの暗号通貨が盗まれました。

Google Threat Intelligence Group の脅威インテリジェンスの首席アドバイザーであるジェイミー・コリアは、北朝鮮のハッカーがしばしばリクルーター、ジャーナリスト、教授、または特定の分野の専門家を装っていると述べています。

UNC4899も調査しているWizは、このグループがTraderTraitor、Jade Sleet、Slow Piscesとしても知られていることを示しました。TraderTraitor は、Lazarus Group、APT38、BlueNoroff、Stardust Chollimaなどのグループが支援する一連の攻撃の総称です。

Wizによると、TraderTraitorのキャンペーンは2020年に始まり、それ以来進化してきました。

グループによる最大の攻撃の一つには、303百万ドルの日本の取引所DMM Bitcoinのハッキングや、2025年2月に知られることとなった15億ドルのBybit取引所のハッキングが含まれます。

ウィズの脅威インテリジェンスディレクター、ベンジャミン・リードの意見では:

最新の評価によると、TraderTraitorに関連するハッカーの数は、並行または相互に関連するグループで活動する数千人に達する可能性があります。

TRM Labsは、2025年の上半期に暗号業界が21億ドル以上の損失を被ったと以前に報告したことを指摘します。

Googleは北朝鮮のハッカーの活動が拡大していると警告しました。

今年4月、Googleの脅威インテリジェンスグループの専門家たちが、北朝鮮のハッカーの動作を発見したことを思い出させておきます。

最近、アメリカ人女性が北朝鮮のハッカーにアメリカの企業での就職を手助けしたため、8.5年の懲役刑を受けました。