從「假遠距工程師」到加密駭客:北韓如何滲透全球企業與區塊鏈,打造去實體化的資金供應鏈?
當遠距工作、雲端協作成為全球企業的日常運作基礎,一條不需要實體辦公室,甚至不需要傳統銀行體系的資金管道,也正在同步成形。近年來,北韓正系統性地滲透這些現代數位基礎設施,一方面透過假冒遠距工程師入侵企業內部,另一方面則在加密貨幣生態中發動駭客攻擊,逐步建構一條「去實體化」的資金供應鏈。這樣的現實狀態,也讓北韓駭客集團成為一個橫跨企業、雲端與區塊鏈平台安全的結構性風險。
例如近期亞馬遜公開披露,北韓相關人員正大規模透過偽造身分進入全球科技供應鏈。亞馬遜資深副總裁暨首席安全長 Stephen Schmidt 指出,北韓近年一直嘗試在全球獲取遠距 IT 職位,背後動機非常明確:「他們的目標通常很直接,就是被雇用、領取薪資,並將工資匯回國,以資助北韓的武器計畫。」
「這並非亞馬遜特有的問題,這很可能在整個行業中大規模發生,」 Stephen Schmidt 警告,這樣的狀態已經演變成一種「跨產業且持續性」的國安級風險,影響眾多企業的招聘流程與內部安全維護模式。
逾 1,800 份北韓「假工程師」申請湧入亞馬遜,透過「按鍵延遲」發現漏網之魚
亞馬遜表示,從 2024 年 4 月以來,已經成功攔截超過 1,800 份疑似來自北韓「假工程師」的遠距職缺申請,且相關申請數量在今年以每季約 27% 的速度持續成長。
為因應這類威脅,亞馬遜採取結合 AI 與人工審查的多層防禦策略,透過 AI 模型比對應徵者是否與高風險機構存在關聯,並分析申請行為中的地理不一致性與異常模式。此外,亞馬遜也透過背景調查、憑證核實與結構化面試,進一步強化招聘過濾機制。
儘管防禦機制層層把關,亞馬遜仍坦承,曾有一名偽裝成系統開發承包商的駭客成功混入內部體系,最後識破這名駭客的關鍵在於,資安團隊發現其操作時的按鍵延遲超過 110 毫秒,顯示實際操作位置位於國外而非美國境內。
然而,在大規模入侵企業招募流程的過程中,北韓 IT 人員的詐騙手法也變得更加精密且高度「具高度計畫性」。像是他們不再只是使用空殼身分,而是直接盜用真實軟體工程師的個資,以提高履歷與背景的可信度,並透過接管休眠的 LinkedIn 帳號,或付費取得合法用戶帳號的使用權,來建立完整的社交足跡。另一方面,為掩蓋實際地理位置,這些人員常與設在美國境內的「筆電農場」合作,由美國當地據點負責接收企業寄送的設備並維持國內網路連線,而北韓駭客則在海外進行遠端操作。
從「量化攻擊」到「高價值的精準獵殺」:北韓駭客成全球最大加密貨幣竊盜來源
除了透過滲透 IT 工作獲取合法薪資,2025 年北韓在非法加密貨幣竊盜領域的不法所得也創下新高。根據 Chainalysis 發布的《2026 加密貨幣犯罪報告》,北韓駭客在 2025 年共竊取約 20.2 億美元的加密資產,較 2024 年成長 51%。儘管已確認的攻擊次數下降,但實際取得的非法資金卻達到歷史高點,成為全球最大加密貨幣威脅行動者。
Chainalysis 指出,北韓已從過去的「撒網式」量化攻擊,明確轉向精準鎖定高影響力目標的「精準獵殺」模式,形成高度集中的風險結構。在手法上,北韓則越來越依賴「內部滲透」,以取得長期且高權限的存取能力。他們將 IT 人員安插於加密貨幣交易所、託管服務商與 Web3 公司內部,作為後續橫向移動與大規模盜竊的基礎。同時,Chainalysis 分析也顯示,北韓在洗錢流程上高度組織化,通常在盜竊後約 45 天內即可分階段完成轉移。
此外,駭客甚至會反向假冒知名 Web3 或 AI 公司的招聘人員,透過設計「技術測驗」誘騙受害者下載惡意程式,進而竊取受害者現職公司的原始碼、VPN 或 SSO 存取權限,成為入侵區塊鏈平台的起點。
目前北韓已不再依賴單一駭客行動或零散詐騙,而是將遠距招募漏洞、企業內部權限與加密資產特性,整合為一套可持續運作的「去實體化」資金模式,以供應武器發展計畫,這也意味著資安風險早已超出企業 IT 或區塊鏈本身,而是跨國、跨產業的結構性挑戰,任何單點防禦的失守,都可能演變為國安層級的破口。
*本文開放合作夥伴轉載,資料來源:《BusinessInsider》、《IT Pro》、Chainalysis,首圖來源:Pixabay