北朝鮮IT工人使用30多個假身分證針對加密貨幣公司：報告

一名北朝鮮IT工作人員的被攻陷設備暴露了680,000美元Favrr黑客團隊的內部運作及其利用谷歌工具針對加密項目的方式。

摘要

• 一名北朝鮮IT工作人員的受損設備暴露了威脅行爲者的內部運作。
• 證據表明，特工使用谷歌提供的工具、AnyDesk 和 VPN 滲透加密公司。

根據鏈上偵探ZachXBT的說法，線索始於一個未透露姓名的來源，該來源獲得了其中一名工作人員的計算機的訪問權限，揭示了屏幕截圖、Google Drive導出和Chrome個人資料，這些資料揭示了這些行動者如何策劃和實施他們的計劃。

通過分析錢包活動和匹配數字指紋，ZachXBT 驗證了源材料，並將該團體的加密貨幣交易與 2025 年 6 月的粉絲代幣市場 Favrr 的攻擊事件聯繫起來。一個錢包地址 "0x78e1a" 顯示出與該事件被盜資金的直接關聯。

運營內部

被攻陷的設備顯示，這個小團隊——總共六名成員——共享至少31個虛假身分。爲了獲得區塊鏈開發工作，他們收集了政府籤發的身分證明和電話號碼，甚至購買了LinkedIn和Upwork帳戶來完善他們的僞裝。

在設備上找到的一份採訪稿顯示，他們自誇在知名區塊鏈公司工作的經驗，包括Polygon Labs、OpenSea和Chainlink。

谷歌工具是他們有序工作流程的核心。威脅行爲者被發現使用驅動器電子表格來跟蹤預算和日程，而谷歌翻譯彌補了韓語和英語之間的語言差距。

從設備提取的信息中，有一份電子表格顯示IT工作人員正在租用計算機並支付VPN費用，以購買新帳戶用於他們的操作。

團隊還依賴於遠程訪問工具，如AnyDesk，使他們能夠控制客戶系統而不透露真實位置。VPN日志將他們的活動與多個地區關聯起來，掩蓋了朝鮮的IP地址。

額外的發現揭示了該集團正在尋找在不同區塊鏈上部署代幣的方法，考察歐洲的人工智能公司，並繪制出加密領域的新目標。

北朝鮮威脅行爲者利用遠程工作

ZachXBT在多個網路安全報告中發現了相同的模式——朝鮮IT工人獲得合法的遠程工作，從而滲入加密行業。通過僞裝成自由開發者，他們獲得了代碼庫、後臺系統和錢包基礎設施的訪問權限。

在設備上發現的一份文件是面試筆記和準備材料，這些材料可能是爲了在與潛在僱主的通話中保持在屏幕上或附近而準備的。