作者：ZachXBT

編譯：Azuma，星球日報

編按：北韓駭客一直是加密貨幣市場的一大威脅。往年，受害者及業內安全工作者只能透過每期相關的安全事件逆向去推測朝鮮黑客的行為模式，而昨日，知名鏈上偵探ZachXBT 在最新推文中引用了某位白帽黑客反向黑掉朝鮮黑客的調查分析，首次以主動視角揭露了朝鮮黑客的“工作”方法，或對業界項目進行事前安全安防有一定的積極意義。

以下為ZachXBT 全文內容，由Odaily 星球日報編譯。

某個不願透露姓名的匿名駭客近期入侵了某個北韓IT 工作者的設備，因此曝光了一個五人技術團隊如何操縱30 多個偽造身分進行活動的內幕。該團隊不僅持有政府簽發的虛假身分證件，還透過購買Upwork/LinkedIn 帳號滲透各類開發案。

調查人員取得了其Google 雲端硬碟資料、Chrome 瀏覽器設定檔及裝置截圖。數據顯示，團隊高度依賴Google 系列工具協調工作行程、任務分配及預算管理，所有溝通均使用英文。

2025 年內的一份週報文件揭露了該黑客團隊的工作模式以及期間遇到的困難，例如有成員曾抱怨“無法理解工作要求，不知道該做什麼”，對應的解決方案欄中竟填寫著“用心投入，加倍努力”…

支出明細記錄則顯示，他們的支出項目包括社會安全號碼（SSN）購買，Upwork、LinkedIn 帳號交易、電話號碼租用、AI 服務訂閱、電腦租賃及VPN / 代理服務採購等等。

其中一份電子表格詳細記錄了以虛假身份“Henry Zhang”參加會議的時間表及話術腳本。操作流程顯示，這些北韓IT 工作者會先購置Upwork 和LinkedIn 帳號，租用電腦設備，接著透過AnyDesk 遠端控制工具完成外包工作。

他們用於收發款項的其中一個錢包地址為：

0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c；

該地址與2025 年6 月發生的68 萬美元Favrr 協議攻擊事件存在密切鏈上關聯，事後證實其CTO 及其他開發人員均為持偽造證件的朝鮮IT 工作者。透過該地址也識別出其他滲透項目的朝鮮IT 人員。

該團隊的搜尋記錄和瀏覽器歷史記錄中還發現以下關鍵證據。

可能有人會問「如何確認他們來自北韓」？除了上面詳述的所有欺詐性文件之外，他們的搜尋歷史還顯示他們經常使用Google翻譯，並使用俄羅斯IP 翻譯成韓語。

就目前而言，企業在防範北韓IT 工作者的主要挑戰集中在以下方面：

• 系統性協作缺失：平台服務商與私人企業之間缺乏有效的資訊共享與合作機制；
• 僱傭方失察：用人團隊在收到風險警告後往往表現出防禦性態度，甚至拒絕配合調查；
• 數量優勢衝擊：雖然其技術手段並不複雜，但憑藉龐大的求職者基數持續滲透全球就業市場；
• 資金轉換管道：Payoneer 等支付平台被頻繁用於將開發工作所得法幣收入兌換為加密貨幣；

我已經多次介紹過需要注意的指標，有興趣的可以翻閱我的歷史推文，在此就不再重複贅述了。