Investigações do popular investigador de blockchain ZachXBT descobriram uma extensa infiltração da Coreia do Norte no mercado de trabalho de desenvolvimento de criptomoedas global.
Uma fonte não identificada recentemente comprometeu um dispositivo pertencente a um trabalhador de TI da RPDC e forneceu uma visão sem precedentes sobre como uma pequena equipe de cinco trabalhadores de TI operava com mais de 30 identidades falsas.
Operativos da RPDC Inundam o Mercado de Trabalho em Cripto
De acordo com os tweets de ZachXBT, a equipa da RPDC terá utilizado identificações emitidas pelo governo para registar contas no Upwork e no LinkedIn, a fim de obter papéis de desenvolvedor em vários projetos. Os investigadores encontraram uma exportação do Google Drive dos trabalhadores, perfis do Chrome e capturas de ecrã, que revelaram que os produtos do Google eram centrais para organizar horários, tarefas e orçamentos, com as comunicações realizadas principalmente em inglês.
Entre os documentos está uma folha de cálculo de 2025 contendo relatórios semanais dos membros da equipa, que iluminam as suas operações internas e mentalidade. As entradas típicas incluíam declarações como "Não consigo entender o requisito do trabalho e não sei o que preciso de fazer", com notas auto-dirigidas como "Solução / correção: Colocar esforços suficientes de coração."
Outra folha de cálculo rastreia despesas, mostrando compras de números de Segurança Social, contas do Upwork e LinkedIn, números de telefone, assinaturas de IA, alugueres de computadores e serviços de VPN ou proxy. Também foram recuperados horários de reuniões e scripts para identidades falsas, incluindo uma sob o nome "Henry Zhang."
Os métodos operacionais da equipe envolveram supostamente a compra ou aluguel de computadores, o uso do AnyDesk para realizar trabalho remotamente e a conversão de moeda fiduciária ganha em criptomoeda via Payoneer. Um endereço de carteira, 0x78e1, associado ao grupo está vinculado on-chain a um exploit de $680.000 na Favrr em junho de 2025, onde o CTO do projeto e outros desenvolvedores foram posteriormente identificados como trabalhadores de TI da RPDC usando documentos fraudulentos. Trabalhadores adicionais ligados à RPDC foram conectados a projetos via o endereço 0x78e1.
Os indicadores da sua origem norte-coreana incluem o uso frequente do Google Translate para pesquisas em língua coreana realizadas a partir de endereços IP russos. ZachXBT afirmou que esses trabalhadores de TI não são particularmente sofisticados, mas a sua persistência é reforçada pela enorme quantidade de funções que visam em todo o mundo.
Os desafios em contrariar essas operações incluem a fraca colaboração entre empresas privadas e serviços, bem como a resistência das equipas quando atividades fraudulentas são reportadas.
A Ameaça Persistente da Coreia do Norte
Os hackers norte-coreanos, nomeadamente o Lazarus Group, continuam a representar uma ameaça significativa para a indústria. Em fevereiro de 2025, o grupo orquestrou o maior hack de uma exchange de criptomoedas na história, ao roubar aproximadamente $1.5 bilhões em Ethereum da Bybit, com sede em Dubai.
O ataque explorou vulnerabilidades em um fornecedor de carteiras de terceiros, Safe{Wallet}, que permitiu que os hackers contornassem as medidas de segurança de múltiplas assinaturas e desviassem fundos para várias carteiras. O FBI atribuiu a violação a operativos norte-coreanos, rotulando-a como “TraderTraitor”.
Subsequentemente, em julho de 2025, a CoinDCX, uma exchange de criptomoedas indiana, foi vítima de um roubo de 44 milhões de dólares, que também estava ligado ao Grupo Lazarus. Os atacantes infiltraram a infraestrutura de liquidez da CoinDCX, explorando credenciais internas expostas para executar o roubo.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
Google Docs, Upwork e LinkedIn: Dentro das Operações Secretas de Cripto dos Trabalhadores de TI da Coreia do Norte
Investigações do popular investigador de blockchain ZachXBT descobriram uma extensa infiltração da Coreia do Norte no mercado de trabalho de desenvolvimento de criptomoedas global.
Uma fonte não identificada recentemente comprometeu um dispositivo pertencente a um trabalhador de TI da RPDC e forneceu uma visão sem precedentes sobre como uma pequena equipe de cinco trabalhadores de TI operava com mais de 30 identidades falsas.
Operativos da RPDC Inundam o Mercado de Trabalho em Cripto
De acordo com os tweets de ZachXBT, a equipa da RPDC terá utilizado identificações emitidas pelo governo para registar contas no Upwork e no LinkedIn, a fim de obter papéis de desenvolvedor em vários projetos. Os investigadores encontraram uma exportação do Google Drive dos trabalhadores, perfis do Chrome e capturas de ecrã, que revelaram que os produtos do Google eram centrais para organizar horários, tarefas e orçamentos, com as comunicações realizadas principalmente em inglês.
Entre os documentos está uma folha de cálculo de 2025 contendo relatórios semanais dos membros da equipa, que iluminam as suas operações internas e mentalidade. As entradas típicas incluíam declarações como "Não consigo entender o requisito do trabalho e não sei o que preciso de fazer", com notas auto-dirigidas como "Solução / correção: Colocar esforços suficientes de coração."
Outra folha de cálculo rastreia despesas, mostrando compras de números de Segurança Social, contas do Upwork e LinkedIn, números de telefone, assinaturas de IA, alugueres de computadores e serviços de VPN ou proxy. Também foram recuperados horários de reuniões e scripts para identidades falsas, incluindo uma sob o nome "Henry Zhang."
Os métodos operacionais da equipe envolveram supostamente a compra ou aluguel de computadores, o uso do AnyDesk para realizar trabalho remotamente e a conversão de moeda fiduciária ganha em criptomoeda via Payoneer. Um endereço de carteira, 0x78e1, associado ao grupo está vinculado on-chain a um exploit de $680.000 na Favrr em junho de 2025, onde o CTO do projeto e outros desenvolvedores foram posteriormente identificados como trabalhadores de TI da RPDC usando documentos fraudulentos. Trabalhadores adicionais ligados à RPDC foram conectados a projetos via o endereço 0x78e1.
Os indicadores da sua origem norte-coreana incluem o uso frequente do Google Translate para pesquisas em língua coreana realizadas a partir de endereços IP russos. ZachXBT afirmou que esses trabalhadores de TI não são particularmente sofisticados, mas a sua persistência é reforçada pela enorme quantidade de funções que visam em todo o mundo.
Os desafios em contrariar essas operações incluem a fraca colaboração entre empresas privadas e serviços, bem como a resistência das equipas quando atividades fraudulentas são reportadas.
A Ameaça Persistente da Coreia do Norte
Os hackers norte-coreanos, nomeadamente o Lazarus Group, continuam a representar uma ameaça significativa para a indústria. Em fevereiro de 2025, o grupo orquestrou o maior hack de uma exchange de criptomoedas na história, ao roubar aproximadamente $1.5 bilhões em Ethereum da Bybit, com sede em Dubai.
O ataque explorou vulnerabilidades em um fornecedor de carteiras de terceiros, Safe{Wallet}, que permitiu que os hackers contornassem as medidas de segurança de múltiplas assinaturas e desviassem fundos para várias carteiras. O FBI atribuiu a violação a operativos norte-coreanos, rotulando-a como “TraderTraitor”.
Subsequentemente, em julho de 2025, a CoinDCX, uma exchange de criptomoedas indiana, foi vítima de um roubo de 44 milhões de dólares, que também estava ligado ao Grupo Lazarus. Os atacantes infiltraram a infraestrutura de liquidez da CoinDCX, explorando credenciais internas expostas para executar o roubo.