谷歌文檔、Upwork 和 LinkedIn：北朝鮮 IT 工人的祕密加密貨幣操作內幕

知名區塊鏈偵探ZachXBT的調查揭示了朝鮮在全球加密貨幣開發就業市場中的廣泛滲透。

最近一個未透露姓名的消息來源入侵了一名朝鮮IT工作人員的設備，並提供了前所未有的洞察，展示了一個由五名IT工作人員組成的小團隊如何運作超過30個虛假身分。

朝鮮特工湧入加密工作市場

根據ZachXBT的推文，朝鮮團隊 reportedly 使用政府籤發的身分證在Upwork和LinkedIn上註冊帳戶，以獲得多個項目的開發者角色。調查人員發現了工人的Google Drive、Chrome個人資料和屏幕截圖的導出，這些資料顯示Google產品在組織日程、任務和預算方面起到了核心作用，溝通主要用英語進行。

在這些文件中，有一個包含2025年的電子表格，裏面包含了團隊成員的每週報告，這些報告闡明了他們的內部運作和心態。典型的條目包括這樣的陳述：“我無法理解工作要求，也不知道我需要做什麼”，以及自我指導的備注：“解決方案/修復：投入足夠的心力。”

另一個電子表格跟蹤開支，顯示購買社保號碼、Upwork 和 LinkedIn 帳戶、電話號碼、AI 訂閱、計算機租賃以及 VPN 或代理服務的情況。還找到了假身分的會議安排和腳本，其中一個名爲“Henry Zhang”的身分。

該團隊的運營方法 reportedly 涉及購買或租賃計算機，使用 AnyDesk 遠程工作，並通過 Payoneer 將賺取的法幣轉換爲加密貨幣。與該組織相關的一個錢包地址 0x78e1 在鏈上與 2025 年 6 月 Favrr 的 $680,000 漏洞相連，項目的首席技術官和其他開發人員隨後被確定爲使用僞造文件的朝鮮 IT 工作者。與該地址 0x78e1 相關的其他朝鮮關聯的工作人員與項目相連。

他們北韓血統的指標包括頻繁使用谷歌翻譯進行從俄羅斯IP地址進行的韓語搜索。ZachXBT表示，這些IT工作者並不特別復雜，但他們的堅持受到他們在世界各地目標角色數量的支持。

應對這些操作的挑戰包括私營公司和服務之間的合作不佳，以及當報告欺詐活動時團隊的抵制。

北朝鮮的持續威脅

朝鮮黑客，特別是拉撒路集團，繼續對行業構成重大威脅。在2025年2月，該集團策劃了歷史上最大的加密貨幣交易所黑客攻擊，從位於迪拜的Bybit盜取了大約15億美元的以太坊。

此次攻擊利用了第三方錢包供應商Safe{Wallet}的漏洞，使黑客能夠繞過多重籤名安全措施，將資金 siphon 到多個錢包中。FBI將此次泄露歸因於朝鮮特工，並將其標記爲“TraderTraitor”。

隨後，在2025年7月，印度的加密貨幣交易所CoinDCX遭遇了4400萬美元的盜竊事件，這也與朝鮮的Lazarus集團有關。攻擊者滲透了CoinDCX的流動性基礎設施，利用暴露的內部憑證執行了盜竊。