据一名朝鲜IT人员设备上的截图显示,这支与68万美元加密货币黑客攻击事件相关的小型朝鲜IT团队,一直利用谷歌产品,甚至租用电脑,渗透加密项目。
加密货币调查员ZachXBT周三在X平台发文,罕见披露了朝鲜(DPRK)黑客的内部活动。这些信息来自“一位匿名消息源”,其攻入了其中一名成员的设备。
与朝鲜有关的人员曾于2月对加密货币交易所Bitbit发动了14亿美元攻击,并多年来从加密协议中抽走数百万美元资金。
数据显示,这支由六名朝鲜IT人员组成的小团队,共享至少31个虚假身份,从获取政府身份证和电话号码,到购买LinkedIn与UpWork账户,用以掩饰真实身份并获取加密货币职位。
其中一名成员据称面试了Polygon Labs的全栈工程师岗位,其他证据显示,他们准备了面试回答脚本,自称有OpenSea和Chainlink等工作经验。
Google与远程办公软件
泄露的文件显示,朝鲜IT工人在自由职业平台如Upwork上获得“区块链开发者”和“智能合约工程师”职位,然后使用AnyDesk等远程访问软件为毫无戒心的雇主完成工作。他们还使用VPN来隐藏他们的位置。
谷歌云端硬盘导出和Chrome个人资料显示,他们使用谷歌工具来管理日程、任务和预算,用英语交流,同时使用谷歌的韩英翻译工具。
一份电子表格显示,IT工人在5月共花费1489.8美元用于运营费用。
与最近68万美元加密货币黑客事件有关的朝鲜IT工人
朝鲜人经常使用Payoneer将法币转换为加密货币进行工作,其中一个钱包地址——“0x78e1a”——与2025年6月在粉丝代币市场Favrr上的68万美元漏洞“密切相关”,ZachXBT表示。
当时,ZachXBT指控该项目的首席技术官,名为“Alex Hong”,以及其他开发人员是伪装的DPRK工人。
证据还提供了对他们好奇领域的见解。一个搜索询问ERC-20代币是否可以在Solana上部署,另一个则寻找欧洲顶级AI开发公司的信息。
加密公司需要进行更多尽职调查
ZachXBT呼吁加密和科技公司对潜在雇员进行更多调查,指出许多这些操作并不高度复杂,但大量申请往往导致招聘团队变得疏忽。
他补充说,科技公司与自由职业平台之间缺乏合作加剧了这一问题。
上个月,美国财政部采取了行动,制裁了两名个人和四个实体,这些人和实体参与了一个由朝鲜运营的IT工人团伙渗透加密公司。