北韓黑客假冒開發者偷取68萬美元

如何31名北韓“開發者”欺騙頂尖加密公司並竊取68萬美元
============================================================================

2025年Favrr劫案
——————–

在一個如同網絡驚悚片的情節中，一群假冒區塊鏈開發者在2025年6月對粉絲代幣市場Favrr進行了68萬美元的劫案，最終卻因為其中一台設備被反向黑客攻擊而暴露。

令人震驚的是，六名北韓特工擁有至少31個虛假身份。他們持有偽造的政府身份證、電話號碼，並製作了虛假的LinkedIn和Upwork檔案。甚至有些人假冒Polygon Labs、OpenSea和Chainlink的員工，試圖潛入加密行業。

數字線索（截圖、Google Drive匯出、Chrome檔案）揭示了他們如何精心策劃這次滲透。

加密調查員ZachXBT追蹤了他們的鏈上活動，將一個錢包地址與Favrr的劫案連接起來，確認這不僅僅是一個釣魚計劃，而是一場協調的開發者級滲透行動。

你知道嗎？ 與北韓有關的黑客在2024年竊取了約13.4億美元的加密貨幣，佔全球盜竊的60%。這些攻擊涉及47起事件，是前一年數量的兩倍。

劫案是如何被發現的
—————————

Favrr的漏洞是通過一個意外的網絡命運曝光的——一名涉嫌的北韓操作員被反向黑客攻擊。

一名未具名的消息來源獲得了他們一台設備的訪問權限，揭示了一批內部資料：截圖、Google Drive匯出和Chrome檔案，描繪了黑客如何協調他們的計劃。

這些文件描繪出驚人的畫面：六名特工運營著至少31個虛假身份。

他們的操作手冊詳細揭示了從跟蹤開支和截止日期的電子表格，到利用Google翻譯進行英語欺騙，甚至租用電腦、VPN和AnyDesk進行隱秘訪問的所有細節。

隨後，ZachXBT追蹤了被盜資金的鏈上活動，發現了一個與2025年6月68萬美元Favrr劫案“密切相關”的錢包地址。

這些揭露確認了這是一場由假冒合法開發者的技術精英進行的深度協調滲透，而所有的暴露都源於一台留下漏洞的設備。

假開發者計劃
————————-

反向黑客攻擊揭示了一系列虛構的人物，這些人不僅僅是用戶名那麼簡單。

他們獲得了政府簽發的身份證、電話號碼，甚至購買了LinkedIn和Upwork賬戶，使他們能夠自信地呈現自己為經驗豐富的區塊鏈開發者。

有些人甚至假冒知名公司員工，作為全棧工程師面試Polygon Labs，並吹噓自己在OpenSea和Chainlink的經驗。

該團隊維持著預先編寫的面試腳本，精心打磨針對每個虛假身份的回答。

最終，這種多層次的幻象使他們能夠獲得開發者角色，並訪問敏感系統和錢包，從內部行動，同時隱藏在精心製作的虛擬形象之後。

這是一場基於身份的深度滲透。

他們使用的工具和戰術
——————————-

北韓黑客的巧妙之處在於使用日常工具進行精心策劃的欺騙。

六名特工之間的協調通過Google Drive匯出、Chrome檔案和共享電子表格來進行，這些文件詳細記錄了任務、時間表和預算——所有內容都用英語精心記錄，並通過Google翻譯在韓語和英語之間進行平滑過渡。

為了精確執行滲透，團隊依賴於AnyDesk遠程訪問和VPN，掩蓋他們的真實位置，同時向毫無戒心的雇主展示自己是合法的開發者。在某些情況下，他們甚至租用了計算機以進一步模糊其來源。

洩露的財務文件顯示，他們的運營預算相當充足。在2025年5月，該團隊花費了1,489.80美元用於運營開支，包括VPN訂閱、租用硬件和維護多個身份所需的基礎設施。

在專業合作的外衣下，隱藏著一個精心設計的幻影，一個支持深度滲透的企業級項目管理系統，背後是實際的運營開支和技術掩護。

你知道嗎？ 北韓最先進的網絡單位121局由該政權的頂尖技術人才組成，許多人是從精英大學中經過多年的嚴格培訓後精心挑選出來的。

遠程工作滲透
———————–

這個北韓團隊在Favrr劫案中使用了看似合法的工作申請（而不是垃圾郵件或釣魚攻擊，這一點令人驚訝）。

他們通過Upwork、LinkedIn和其他自由職業平台獲得了區塊鏈開發者的角色。憑藉精心打磨的人物形象，配合量身定制的簡歷和面試準備好的腳本，他們在假裝遠程工作的情況下獲得了客戶系統和錢包的訪問權限。這種滲透如此真實，以至於一些面試官可能從未懷疑過任何異常。

這一策略代表了一個更大的趨勢。調查顯示，北韓的IT特工經常通過獲得遠程職位來滲透組織。這些滲透者利用深偽技術通過背景和參考檢查，並使用增強的簡歷，提供服務的同時為惡意活動鋪平道路。

從本質上講，網絡間諜威脅並不僅限於惡意軟件。這一事件表明，它也嵌入在通過遠程工作基礎設施獲得的可信訪問中。

你知道嗎？ 到2024年，北韓大約有8,400名網絡作業人員在全球範圍內嵌入，假裝成遠程工作者以滲透公司並產生非法收入，特別是將資金引向政權的武器計劃。

更廣泛的背景和國家支持的行動
————————————

在2025年2月，北韓的Lazarus集團（以TraderTraitor的名義運作）執行了迄今為止最大的加密貨幣劫案，從Bybit交易所竊取了約15億美元的以太幣，這是在一次例行錢包轉移中發生的。

美國聯邦調查局確認了這次黑客攻擊，並警告加密行業阻止可疑地址，指出這次攻擊是北韓更廣泛的網絡犯罪策略的一部分，以資助其政權，包括核武器和導彈計劃。

除了大規模的直接盜竊，北韓還利用了更隱蔽的手段。網絡安全研究人員，包括Silent Push，發現Lazarus的附屬機構設立了美國空殼公司Blocknovas和Softglide，通過虛假的工作機會向毫無戒心的加密開發者分發惡意軟件。

這些活動使目標感染了BeaverTail、InvisibleFerret和OtterCookie等病毒，從而獲得遠程訪問並實現憑證盜竊。

這些技術揭示了雙重威脅：大膽的交易所級攻擊和隱秘的內部滲透。其總體目標始終如一：在制裁的雷達下生成非法收入。

值得記住的是，這些網絡犯罪行動是資助北韓武器計劃和維持政權外匯生命線的核心。

—

這篇文章揭示了北韓黑客的精密運作和他們如何利用現代科技和社交媒體來實施犯罪行為。這不僅僅是技術上的挑戰，更是對全球網絡安全的重大考驗。隨著越來越多的公司轉向遠程工作，這種潛在的威脅將變得更加普遍。企業需要加強對員工的背景調查，並提升對網絡安全的重視，以防止類似事件再次發生。

以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。