Kryptovalutastölder kopplade till Nordkorea
Hackare från den Demokratiska Folkrepubliken Korea, även känd som DPRK eller Nordkorea, har stulit kryptovaluta värd 2,02 miljarder dollar hittills under 2025, enligt en rapport från Chainalysis som offentliggjordes på torsdagen. Detta representerar en ökning med 51 % jämfört med förra årets siffror och markerar det största året på rekord för kryptovalutastölder kopplade till DPRK.
Totalt har kryptovaluta sett stölder på 3,4 miljarder dollar i år, vilket innebär att DPRK-attacker står för 59 % av dessa stulna medel. Chainalysis anser att data visar en ”utveckling” från Nordkorea, där de börjar begå färre attacker men orsakar betydligt mer skada med varje angrepp. Februaris attack mot Bybit, som kostade 1,5 miljarder dollar och som FBI kopplade till DPRK, är ett nyckelexempel på denna utveckling.
”För kryptovalutaindustrin kräver denna utveckling ökad vaksamhet kring högvärdiga mål och förbättrad upptäcktsförmåga av DPRK:s specifika penningtvättsmönster,” står det i rapporten.
Chainalysis hävdar att de har identifierat ett distinkt trevågs, 45 dagar långt penningtvättsmönster som DPRK-attacker vanligtvis följer. Identifierare inkluderar användning av kinesisktalande tjänster, stort beroende av att överföra tillgångar över kedjor för att förvirra spårning, och ökad användning av kryptovaluta-mixningstjänster. Detta mönster, enligt rapporten, har bestått under de senaste åren.
Utmaningar och hot
Chainalysis svarade inte på Decrypts begäran om kommentar angående hur analytiker vet att dessa attacker kom från DPRK och inte från andra grupper. I allt högre grad kommer attacker från illvilliga aktörer som anställs av kryptoföretag. Angriparen arbetar sedan för att få privilegierad åtkomst innan de stjäl viktig information eller medel.
Binance berättade för Decrypt under sommaren att nordkoreanska hackare försöker bli anställda av den stora centraliserade börsen varje dag. Jimmy Su, Binances säkerhetschef, förklarade att angripare till och med kan använda AI-genererade livevideor och röstförändrare under samtal i ett försök att bli anställda. Börsen har identifierat flera vanliga kännetecken för DPRK-angripare och delar denna information med andra kryptobörser via Telegram och Signal.
Utöver detta har nordkoreanska hackare upptäckts med att förgifta NPM-paket, som regelbundet används i offentliga kodbibliotek, för att infiltrera projekt. Återigen erkände Binance detta hot och hävdar att deras utvecklare tvingas gå igenom varje kodbibliotek med en finmaskig kam.
”När Nordkorea fortsätter att använda kryptovalutastölder för att finansiera statliga prioriteringar och kringgå internationella sanktioner, måste industrin erkänna att denna hotaktör verkar enligt andra regler än typiska cyberbrottslingar,” sade Chainalysis-rapporten.
”Landets rekordartade prestation 2025 – uppnådd med 74 % färre kända attacker – tyder på att vi kanske bara ser den mest synliga delen av deras aktiviteter.”
”Utmaningen för 2026 kommer att vara att upptäcka och förhindra dessa högpåverkande operationer innan DPRK-anknutna aktörer orsakar ännu en incident i Bybit-storlek,” avslutade rapporten.
