北韓 IT 工作人員使用 30 多個假身份瞄準加密貨幣公司：報告

一部來自北韓 IT 工作者的受損裝置揭露了 Favrr 680,000 美元駭客攻擊背後團隊的內部運作，以及他們如何使用 Google 工具鎖定加密貨幣項目。

根據鏈上偵探 ZachXBT 的說法，這條線索始於一個未具名的來源，該來源獲取了其中一名工作人員的電腦訪問權限，發現了截圖、Google Drive 匯出內容和 Chrome 設定檔，揭露了這些操作人員如何計劃和執行他們的計劃。

ZachXBT 根據錢包活動和匹配的數位指紋，驗證了來源材料，並將該組織的加密貨幣交易與 2025 年 6 月對粉絲代幣市場 Favrr 的攻擊聯繫起來。一個錢包地址「0x78e1a」顯示與該事件中被盜資金有直接聯繫。

行動內幕

受損裝置顯示，這個小團隊——總共六名成員——共享至少 31 個假身份。為了獲得區塊鏈開發工作，他們收集了政府頒發的身份證和電話號碼，甚至購買 LinkedIn 和 Upwork 帳戶來完善他們的掩護。

在裝置上發現的一份面試腳本顯示，他們吹噓自己在知名區塊鏈公司的經驗，包括 Polygon Labs、OpenSea 和 Chainlink。

Google 工具是他們有組織工作流程的核心。發現這些威脅行為者使用雲端試算表追蹤預算和時間表，而 Google 翻譯則幫助他們跨越韓語和英語之間的語言障礙。 

從裝置中提取的資訊中有一份試算表，顯示 IT 工作者租用電腦並支付 VPN 訪問費用，以購買新帳戶用於他們的操作。

該團隊還依賴遠端訪問工具，如 AnyDesk，使他們能夠控制客戶系統而不暴露自己的真實位置。VPN 日誌將他們的活動與多個地區聯繫起來，掩蓋北韓 IP 地址。

其他發現揭示該組織正在尋找在不同區塊鏈上部署代幣的方法，探索歐洲的 AI 公司，並規劃加密貨幣領域的新目標。

北韓威脅行為者利用遠端工作

ZachXBT 發現了多份網路安全報告中標記的相同模式——北韓 IT 工作者獲得合法的遠端工作以滲透加密貨幣行業。通過冒充自由開發者，他們獲得了代碼庫、後端系統和錢包基礎設施的訪問權限。

在裝置上發現的一份文件是面試筆記和準備材料，可能是為了在與潛在雇主通話時保持在螢幕上或附近。