朝鲜特工渗透全球加密货币开发市场 团队运作30余虚假身份曝光

【币界】消息，知名区块链侦探的调查显示，朝鲜在全球加密货币开发招聘市场中进行了广泛渗透。一位不愿透露姓名的消息人士最近入侵了一名朝鲜 IT 工作人员的设备，并提供了前所未有的洞察，揭示了一个由五名 IT 工作人员组成的小团队如何运作 30 多个虚假身份。

朝鲜特工涌入加密货币招聘市场

根据调查，朝鲜团队使用政府颁发的身份证件在招聘平台上注册账户，以获得多个项目的开发者职位。调查人员发现了一份工作人员的 Google Drive、Chrome 个人资料和屏幕截图的导出文件，显示 Google 产品是组织日程安排、任务和预算的核心，通信主要以英语进行。

在这些文件中，有一份 2025 年的电子表格，其中包含团队成员的每周报告，揭示了他们的内部运作和心态。典型的条目包括诸如"我不明白工作要求，也不知道我需要做什么"之类的陈述，以及诸如"解决方案/修复：用心投入足够的努力"之类的自我指导性注释。

另一份电子表格跟踪了费用，显示了购买社会安全号码、招聘平台账户、电话号码、AI 订阅、计算机租赁以及 VPN 或代理服务的费用。会议日程和虚假身份的脚本也被恢复，其中包括一个名为"Henry Zhang"的身份。

该团队的运营方法包括购买或租赁计算机，使用 AnyDesk 远程执行工作，并通过 Payoneer 将赚取的法定货币转换为加密货币。与该组织相关的一个钱包地址在链上与 2025 年 6 月 Favrr 发生的 68 万美元漏洞利用相关联，该项目的 CTO 和其他开发人员后来被确认为使用欺诈文件的朝鲜 IT 工作人员。其他与朝鲜有关联的工作人员通过该地址与项目联系起来。

他们来自朝鲜的迹象包括频繁使用 Google 翻译，从俄罗斯 IP 地址进行韩语搜索。调查人员表示，这些 IT 工作人员并不是特别老练，但他们的坚持不懈得益于他们在全球范围内针对的大量职位。应对这些行动的挑战包括私营公司和服务之间的合作不力，以及在报告欺诈活动时团队的抵制。

朝鲜持续的威胁

朝鲜黑客，尤其是 Lazarus Group，继续对该行业构成重大威胁。2025 年 2 月，该组织策划了历史上最大的加密货币交易所黑客攻击，从总部位于迪拜的某交易平台窃取了约 15 亿美元的 Ethereum。此次攻击利用了第三方钱包提供商中的漏洞，黑客利用这些漏洞绕过多重签名安全措施，并将资金转移到多个钱包中。美国联邦调查局将此次违规行为归咎于朝鲜特工，并将其标记为"TraderTraitor"。

随后，在 2025 年 7 月，印度加密货币交易所 CoinDCX 成为一起 4400 万美元盗窃案的受害者，该盗窃案也与 Lazarus Group 有关。攻击者渗透到 CoinDCX 的流动性基础设施中，利用暴露的内部凭据来执行盗窃。