CrowdStrike最新报告显示，过去一年里，朝鲜相关黑客已成为美国科技行业最活跃的入侵来源之一。这类行动不仅瞄准企业数据，也持续把区块链开发者和加密资产列为重点目标。

一年内占比达 47%

报告统计区间为 2025 年 4 月至 2026 年 5 月。CrowdStrike称，其追踪的朝鲜黑客组织“Famous Chollima”占科技行业所有国家支持型攻击活动的 47%。

这类事件被归为“hands-on-keyboard”入侵，指真实攻击者直接操作系统实施渗透，而不是单纯依赖自动化恶意软件。此类攻击通常先通过被盗账号或凭证进入系统，再利用企业内部已有工具维持长期访问。

伪装远程员工潜入企业

报告称，相关人员常伪装成开发者、程序员或 IT 从业者，申请美国、欧洲和亚洲科技公司的远程岗位，也会冒充线上招聘人员接触目标。

为通过身份审核，这些人会使用 AI 生成实时深度伪造画面，并配合伪造或盗用的护照、驾照等证件，把自己包装成美国人或其他国家公民。

一旦进入公司体系，他们不仅能获取薪资，还会窃取知识产权和敏感内部信息。相关收入据称会回流朝鲜政权，而被盗资料也可能在身份暴露后被用于勒索企业。

区块链开发者也是重点目标

CrowdStrike指出，朝鲜黑客也持续针对区块链开发者，目标是窃取大额加密资产。报道提到，朝鲜多年来已通过相关行动获取数十亿美元加密货币，仅 2025 年就达到约 20 亿美元。

在制裁持续存在的背景下，加密资产被视为其绕开西方银行体系限制的重要渠道之一。这也使针对加密行业的人才渗透、身份伪装和定向窃取，继续成为安全机构关注的重点。