朝鲜IT工作者使用30多个假身份证瞄准加密货币公司：报告

一台被入侵的朝鲜IT工作者设备揭露了价值68万美元Favrr黑客攻击背后团队的内部运作，以及他们如何使用谷歌工具瞄准加密货币项目。

根据链上侦探ZachXBT的说法，这条线索始于一个未具名的消息来源，该来源获取了其中一名工作者的电脑访问权限，发现了截图、谷歌云端硬盘导出文件和Chrome浏览器配置文件，揭示了这些操作人员如何策划和执行他们的计划。

通过钱包活动和匹配数字指纹，ZachXBT验证了源材料，并将该组织的加密货币交易与2025年6月粉丝代币市场Favrr的漏洞利用联系起来。一个钱包地址"0x78e1a"显示与该事件中被盗资金有直接联系。

行动内幕

被入侵的设备显示，这个小团队——总共六名成员——共享至少31个虚假身份。为了获得区块链开发工作，他们收集了政府颁发的身份证和电话号码，甚至购买LinkedIn和Upwork账户来完善他们的掩护。

在设备上发现的一份面试脚本显示，他们吹嘘自己在知名区块链公司的经验，包括Polygon Labs、OpenSea和Chainlink。

谷歌工具是他们有组织工作流程的核心。发现这些威胁行为者使用云端硬盘电子表格来跟踪预算和日程安排，而谷歌翻译则弥合了韩语和英语之间的语言差距。 

从设备中提取的信息中有一份电子表格，显示IT工作者正在租用电脑并支付VPN访问费用，以便为他们的操作购买新账户。

该团队还依赖远程访问工具，如AnyDesk，使他们能够控制客户系统而不暴露自己的真实位置。VPN日志将他们的活动与多个地区联系起来，掩盖朝鲜IP地址。

其他发现揭示该组织正在寻找在不同区块链上部署代币的方法，侦察欧洲的人工智能公司，并规划加密货币领域的新目标。

朝鲜威胁行为者利用远程工作

ZachXBT发现了多份网络安全报告中标记的相同模式——朝鲜IT工作者获得合法远程工作以潜入加密货币行业。通过冒充自由开发者，他们获得了代码库、后端系统和钱包基础设施的访问权限。

在设备上发现的一份文件是面试笔记和准备材料，可能是为了在与潜在雇主通话时保持在屏幕上或放在附近。