朝鮮特工滲透全球加密貨幣開發市場 團隊運作30餘虛假身分曝光

【幣界】消息，知名區塊鏈偵探的調查顯示，朝鮮在全球加密貨幣開發招聘市場中進行了廣泛滲透。一位不願透露姓名的消息人士最近入侵了一名朝鮮 IT 工作人員的設備，並提供了前所未有的洞察，揭示了一個由五名 IT 工作人員組成的小團隊如何運作 30 多個虛假身分。

朝鮮特工湧入加密貨幣招聘市場

根據調查，朝鮮團隊使用政府頒發的身分證件在招聘平台上註冊帳戶，以獲得多個項目的開發者職位。調查人員發現了一份工作人員的 Google Drive、Chrome 個人資料和屏幕截圖的導出文件，顯示 Google 產品是組織日程安排、任務和預算的核心，通信主要以英語進行。

在這些文件中，有一份 2025 年的電子表格，其中包含團隊成員的每週報告，揭示了他們的內部運作和心態。典型的條目包括諸如"我不明白工作要求，也不知道我需要做什麼"之類的陳述，以及諸如"解決方案/修復：用心投入足夠的努力"之類的自我指導性注釋。

另一份電子表格跟蹤了費用，顯示了購買社會安全號碼、招聘平台帳戶、電話號碼、AI 訂閱、計算機租賃以及 VPN 或代理服務的費用。會議日程和虛假身分的腳本也被恢復，其中包括一個名爲"Henry Zhang"的身分。

該團隊的運營方法包括購買或租賃計算機，使用 AnyDesk 遠程執行工作，並通過 Payoneer 將賺取的法定貨幣轉換爲加密貨幣。與該組織相關的一個錢包地址在鏈上與 2025 年 6 月 Favrr 發生的 68 萬美元漏洞利用相關聯，該項目的 CTO 和其他開發人員後來被確認爲使用欺詐文件的朝鮮 IT 工作人員。其他與朝鮮有關聯的工作人員通過該地址與項目聯繫起來。

他們來自朝鮮的跡象包括頻繁使用 Google 翻譯，從俄羅斯 IP 地址進行韓語搜索。調查人員表示，這些 IT 工作人員並不是特別老練，但他們的堅持不懈得益於他們在全球範圍內針對的大量職位。應對這些行動的挑戰包括私營公司和服務之間的合作不力，以及在報告欺詐活動時團隊的抵制。

朝鮮持續的威脅

朝鮮黑客，尤其是 Lazarus Group，繼續對該行業構成重大威脅。2025 年 2 月，該組織策劃了歷史上最大的加密貨幣交易所黑客攻擊，從總部位於迪拜的某交易平台竊取了約 15 億美元的 Ethereum。此次攻擊利用了第三方錢包提供商中的漏洞，黑客利用這些漏洞繞過多重籤名安全措施，並將資金轉移到多個錢包中。美國聯邦調查局將此次違規行爲歸咎於朝鮮特工，並將其標記爲"TraderTraitor"。

隨後，在 2025 年 7 月，印度加密貨幣交易所 CoinDCX 成爲一起 4400 萬美元盜竊案的受害者，該盜竊案也與 Lazarus Group 有關。攻擊者滲透到 CoinDCX 的流動性基礎設施中，利用暴露的內部憑據來執行盜竊。