當遠距工作、雲端協作成為全球企業的日常運作基礎，一條不需要實體辦公室，甚至不需要傳統銀行體系的資金管道，也正在同步成形。近年來，北韓正系統性地滲透這些現代數位基礎設施，一方面透過假冒遠距工程師入侵企業內部，另一方面則在加密貨幣生態中發動駭客攻擊，逐步建構一條「去實體化」的資金供應鏈。這樣的現實狀態，也讓北韓駭客集團成為一個橫跨企業、雲端與區塊鏈平台安全的結構性風險。

例如近期亞馬遜公開披露，北韓相關人員正大規模透過偽造身分進入全球科技供應鏈。亞馬遜資深副總裁暨首席安全長 Stephen Schmidt 指出，北韓近年一直嘗試在全球獲取遠距 IT 職位，背後動機非常明確：「他們的目標通常很直接，就是被雇用、領取薪資，並將工資匯回國，以資助北韓的武器計畫。」

「這並非亞馬遜特有的問題，這很可能在整個行業中大規模發生，」 Stephen Schmidt 警告，這樣的狀態已經演變成一種「跨產業且持續性」的國安級風險，影響眾多企業的招聘流程與內部安全維護模式。

逾 1,800 份北韓「假工程師」申請湧入亞馬遜，透過「按鍵延遲」發現漏網之魚

亞馬遜表示，從 2024 年 4 月以來，已經成功攔截超過 1,800 份疑似來自北韓「假工程師」的遠距職缺申請，且相關申請數量在今年以每季約 27% 的速度持續成長。

為因應這類威脅，亞馬遜採取結合 AI 與人工審查的多層防禦策略，透過 AI 模型比對應徵者是否與高風險機構存在關聯，並分析申請行為中的地理不一致性與異常模式。此外，亞馬遜也透過背景調查、憑證核實與結構化面試，進一步強化招聘過濾機制。

儘管防禦機制層層把關，亞馬遜仍坦承，曾有一名偽裝成系統開發承包商的駭客成功混入內部體系，最後識破這名駭客的關鍵在於，資安團隊發現其操作時的按鍵延遲超過 110 毫秒，顯示實際操作位置位於國外而非美國境內。

然而，在大規模入侵企業招募流程的過程中，北韓 IT 人員的詐騙手法也變得更加精密且高度「具高度計畫性」。像是他們不再只是使用空殼身分，而是直接盜用真實軟體工程師的個資，以提高履歷與背景的可信度，並透過接管休眠的 LinkedIn 帳號，或付費取得合法用戶帳號的使用權，來建立完整的社交足跡。另一方面，為掩蓋實際地理位置，這些人員常與設在美國境內的「筆電農場」合作，由美國當地據點負責接收企業寄送的設備並維持國內網路連線，而北韓駭客則在海外進行遠端操作。

從「量化攻擊」到「高價值的精準獵殺」：北韓駭客成全球最大加密貨幣竊盜來源

除了透過滲透 IT 工作獲取合法薪資，2025 年北韓在非法加密貨幣竊盜領域的不法所得也創下新高。根據 Chainalysis 發布的《2026 加密貨幣犯罪報告》，北韓駭客在 2025 年共竊取約 20.2 億美元的加密資產，較 2024 年成長 51%。儘管已確認的攻擊次數下降，但實際取得的非法資金卻達到歷史高點，成為全球最大加密貨幣威脅行動者。

Chainalysis 指出，北韓已從過去的「撒網式」量化攻擊，明確轉向精準鎖定高影響力目標的「精準獵殺」模式，形成高度集中的風險結構。在手法上，北韓則越來越依賴「內部滲透」，以取得長期且高權限的存取能力。他們將 IT 人員安插於加密貨幣交易所、託管服務商與 Web3 公司內部，作為後續橫向移動與大規模盜竊的基礎。同時，Chainalysis 分析也顯示，北韓在洗錢流程上高度組織化，通常在盜竊後約 45 天內即可分階段完成轉移。

此外，駭客甚至會反向假冒知名 Web3 或 AI 公司的招聘人員，透過設計「技術測驗」誘騙受害者下載惡意程式，進而竊取受害者現職公司的原始碼、VPN 或 SSO 存取權限，成為入侵區塊鏈平台的起點。

目前北韓已不再依賴單一駭客行動或零散詐騙，而是將遠距招募漏洞、企業內部權限與加密資產特性，整合為一套可持續運作的「去實體化」資金模式，以供應武器發展計畫，這也意味著資安風險早已超出企業 IT 或區塊鏈本身，而是跨國、跨產業的結構性挑戰，任何單點防禦的失守，都可能演變為國安層級的破口。

本圖/文由「Techorange科技報橘」授權刊登，非經同意不得任意轉載。
原文出處：從「假遠距工程師」到加密駭客：北韓如何滲透全球企業與區塊鏈，打造去實體化的資金供應鏈？