知名链上侦探ZachXBT近日披露,某白帽黑客通过反向入侵朝鲜IT工作者的设备,首次以主动视角曝光了朝鲜黑客组织系统性渗透加密货币项目的完整作案链条。调查显示,一个五人技术团队通过伪造证件、购买平台账号等方式,已操控30余个虚假身份实施网络犯罪。
根据获取的Google云端硬盘数据及设备截图,该团队持有政府签发的虚假身份证件,并通过黑市购买Upwork、LinkedIn等平台账号渗透开发项目。2025年6月的Favrr协议68万美元攻击事件已被证实与该团队直接相关,其使用的钱包地址0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c存在明确链上关联。
调查文件显示,该团队建立了完整的作案体系:先购置SSN社会安全号码、租赁电脑设备,再通过AnyDesk远程控制工具完成外包工作。电子表格中详细记录了以"Henry Zhang"等假身份参加会议的话术脚本,所有沟通均使用英文以规避审查。
在2025年某周报中,成员曾抱怨"无法理解工作要求",而解决方案栏竟填写着"用心投入,加倍努力"。支出明细显示,其资金主要用于VPN服务采购(占比23%)、AI工具订阅(17%)及Payoneer法币兑换通道维护(12%)。
调查人员通过三个关键证据确认其朝鲜背景:一是浏览器历史显示频繁使用俄语IP访问谷歌翻译韩语内容;二是工作文档中出现朝鲜特有的日期格式(主体历);三是资金最终流向与联合国制裁名单中的朝鲜实体存在关联。
行业专家指出,此类攻击之所以屡屡得手,主要由于平台方与项目方缺乏信息共享机制。即便收到风险警示,仍有30%的雇佣方选择继续合作。目前已知该团队至少渗透了7个DeFi项目,造成的直接损失超过200万美元。
ZachXBT建议项目方重点核查开发者三项特征:使用俄罗斯/东南亚IP但声称位于欧美、工作时段固定在平壤时间9-18点、简历中技术栈与实际能力明显不符。随着朝鲜黑客手段持续升级,行业亟需建立更完善的身份验证联防体系。