如何31名北韓“開發者”欺騙頂尖加密貨幣公司並竊取68萬美元
2025年Favrr大盜竊案
在一場宛如網絡驚悚片的事件中,一群假冒區塊鏈開發者在2025年6月對粉絲代幣市場Favrr進行了68萬美元的竊取,最終卻因為其中一台設備被反向駭客攻擊而暴露。
令人震驚的是,六名北韓特工擁有至少31個假身份。他們持有偽造的政府身份證、電話號碼,甚至還虛構了LinkedIn和Upwork的個人資料。有些人甚至假冒Polygon Labs、OpenSea和Chainlink的員工,試圖潛入加密行業。
數字痕跡(截圖、Google Drive導出、Chrome個人資料)顯示他們是多麼精心策劃這次滲透。
加密貨幣調查員ZachXBT追蹤了他們的鏈上活動,將一個錢包地址與Favrr的攻擊事件聯繫起來,確認這不僅僅是一個釣魚計劃,而是一場有組織的開發者級別的滲透。
你知道嗎?與北韓有關的黑客在2024年竊取了約13.4億美元的加密貨幣,佔全球盜竊的60%。這些攻擊事件涉及47起,數量是前一年的兩倍。
如何發現這次黑客攻擊
Favrr的安全漏洞是通過一場網絡命運的轉折而曝光的——一名涉嫌的北韓操作員被反向駭客攻擊。
一名未具名的消息來源獲得了他們的一台設備的訪問權限,揭露了一批內部資料:截圖、Google Drive導出和Chrome個人資料,這些資料描繪了黑客如何協調他們的計劃。
這些文件呈現出驚人的畫面:六名特工運行著至少31個假身份。
他們的操作手冊詳細揭示了從追蹤開支和截止日期的電子表格,到使用Google翻譯來促進他們的英語詐騙,甚至包括租用電腦、VPN和AnyDesk進行隱秘訪問。
ZachXBT隨後追蹤了被盜資金的鏈上活動,發現了一個“與2025年6月68萬美元Favrr攻擊密切相關”的錢包地址。
這些揭示證實了這是一場由技術嫻熟的演員精心策劃的滲透,所有的證據都因為一台被遺留的脆弱設備而暴露。
假開發者計劃
這次反向駭客攻擊揭示了一系列虛構的身份,這些身份遠不止於用戶名。
他們獲得了政府發放的身份證、電話號碼,甚至購買了LinkedIn和Upwork帳戶,使他們能夠令人信服地呈現自己為經驗豐富的區塊鏈開發者。
有些人甚至假冒高知名度機構的員工,作為全棧工程師面試Polygon Labs,並自稱擁有OpenSea和Chainlink的經驗。
該小組維持著預先編寫的面試腳本,精心打磨針對每個假身份的回答。
最終,這種層次分明的幻象使他們能夠獲得開發者職位並訪問敏感系統和錢包,從內部行動,同時隱藏在精心製作的虛擬形象背後。
這是一場基於身份的深度滲透。
他們使用的工具和戰術
北韓黑客的巧妙之處在於使用日常工具進行精心策劃的欺騙。
六名特工之間的協調是通過Google Drive導出、Chrome個人資料和共享電子表格來處理的,這些文件詳細記錄了任務、時間表和預算——所有內容都用英語精心登記,並通過Google翻譯在韓語和英語之間進行平滑過渡。
為了精確執行他們的滲透,該團隊依賴AnyDesk遠程訪問和VPN,掩蓋他們的真實位置,同時向毫無戒心的雇主展示自己是合法的開發者。在某些情況下,他們甚至租用了電腦以進一步模糊他們的來源。
泄露的財務文件顯示,他們的操作預算相當充足。2025年5月,該小組在運營開支上花費了1,489.80美元,包括VPN訂閱、租用硬件和維護多個身份所需的基礎設施。
在專業合作的外衣下,隱藏著一個精心設計的幻象,一個支持深度入侵的企業級項目管理系統,背後則是現實世界的運營開支和技術掩護。
你知道嗎?北韓最先進的網絡單位121局由一些政權中最頂尖的技術人才組成,這些人才經過多年的嚴格訓練後,從精英大學中挑選出來。
遠程工作滲透
這個北韓團體在Favrr大盜竊案中使用了看似合法的工作申請(而不是垃圾郵件或釣魚攻擊,這一點令人驚訝)。
他們通過Upwork、LinkedIn和其他自由職業平台獲得了區塊鏈開發者的角色。憑藉精心設計的個人資料,配合量身定制的簡歷和面試準備腳本,他們在遠程工作中獲得了客戶系統和錢包的訪問權限。這次滲透如此真實,以至於一些面試官可能從未懷疑過有任何不妥之處。
這一策略代表了一個更大的趨勢。調查顯示,北韓IT特工經常通過獲得遠程職位來滲透組織。這些滲透者利用深偽工具和AI增強的簡歷通過背景和參考檢查,提供服務的同時為惡意活動鋪平道路。
實質上,網絡間諜的威脅並不僅限於惡意軟件。這一事件顯示,這一威脅也嵌入在通過遠程工作基礎設施獲得的信任訪問中。
你知道嗎?到2024年,北韓在全球擁有約8,400名網絡特工,假冒遠程工作者滲透公司,並產生非法收入,特別是將資金引向政權的武器計劃。
更廣泛的背景與國家支持的行動
在2025年2月,北韓的Lazarus集團(以TraderTraitor的身份運作)執行了迄今為止最大的加密貨幣盜竊,從Bybit交易所竊取了約15億美元的以太幣,這是在一次例行錢包轉移中發生的。
美國聯邦調查局確認了這次黑客攻擊,並警告加密行業阻止可疑地址,指出這次攻擊是北韓更廣泛的網絡犯罪策略的一部分,旨在為其政權提供資金,包括核武器和導彈計劃。
除了大規模的直接盜竊,北韓還利用更隱蔽的手段。網絡安全研究人員,包括Silent Push,發現Lazarus的關聯公司設立了美國空殼公司Blocknovas和Softglide,通過假工作機會向毫不知情的加密開發者分發惡意軟件。
這些活動感染了目標,使用了如BeaverTail、InvisibleFerret和OtterCookie等病毒,授予遠程訪問權限並使憑證被盜。
這些技術揭示了雙重威脅:無所顧忌的交易所級攻擊和隱秘的內部滲透。其總體目標始終如一:在制裁的雷達下生成非法收入。
值得注意的是,這類網絡犯罪行動是資助北韓武器計劃和維持政權外匯生計的核心。
這一事件的揭露不僅讓人驚訝於黑客的技術手段,更讓我們反思當今社會中,如何在數字化日益增長的環境中加強安全防範,防止類似事件重演。隨著虛擬工作模式的普及,企業必須加強對遠程員工的背景調查和監控,確保不讓任何潛在的威脅進入內部系統。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
🖼️ AI 圖庫|抄咒語學玩法
想睇吓人哋點玩 AI 畫圖?圖庫集合大量 Flux / Gemini 作品, 可以一 click 複製咒語,直入生成器再改做自己版本。
![{
"image_generation_request": {
"prompt": "Ultra-realistic portrait of a man walking toward the camera on an airport runway at night He wears a white long-sleeve shirt with sleeves rolled up and dress pants, shoes. The camera is very close, capturing his face sharply - textures of skin, smoke from his lips, and subtle reflections of firelight in his eyes. Behind him, slightly out of focus, a commercial airplane is burning intensely, with huge flames, roaring firestorms, and thick black smoke rising high. The fiery glow casts dramatic orange highlights on his shirt and face, creating deep shadows and a gritty, cinematic mood. Wet runway reflects the blaze, enhancing the dramatic atmosphere.",
"dimensions": {
"width": 1200,
"height": 1200
},
"style_descriptors": [
"Cinematic",
"Photorealistic",
"Gritty",
"Dramatic Lighting",
"Macro Photography",
"8k resolution"
],
"subject_details": {
"action": "Walking toward camera, smoking",
"clothing": "White long-sleeve shirt (rolled sleeves), dress pants, shoes",
"facial_features": "Sharp focus, skin texture, firelight reflection in eyes"
},
"environment_details": {
"location": "Airport runway at night",
"background": "Commercial airplane burning, intense fire, thick black smoke, out of focus",
"ground": "Wet runway, reflecting fire"
}
}
}](https://ssfuture.shop/wp-content/uploads/ai_gen_1765251172-300x300.png)
Gallery
Gallery
Gallery
