如何31名北韓「開發者」欺騙頂尖加密貨幣公司並竊取68萬美元
2025年Favrr劫案
在一場宛如網絡驚悚片的事件中,一個自稱為區塊鏈開發者的團體在2025年6月對粉絲代幣市場Favrr進行了一次68萬美元的劫案,最終卻因為其中一個成員的設備被反向駭客入侵而曝光。
令人震驚的是,六名北韓特工擁有至少31個假身份。他們持有偽造的政府身份證、電話號碼,還有虛假的LinkedIn和Upwork資料。有些人甚至假裝來自Polygon Labs、OpenSea和Chainlink,潛入加密貨幣行業。
數位線索(截圖、Google Drive導出、Chrome資料)顯示他們是如何精心策劃這次入侵的。
加密貨幣調查員ZachXBT追蹤了他們的鏈上活動,將一個錢包地址與Favrr的劫案聯繫起來,確認這不僅僅是一次釣魚攻擊,而是一場協調的開發者級別的滲透行動。
你知道嗎?與北韓有關的駭客在2024年竊取了約13.4億美元的加密貨幣,佔全球盜竊的60%。這些攻擊共發生了47起,數量是前一年的兩倍。
如何發現這次駭客攻擊
Favrr的安全漏洞是通過一個意外的網絡命運曝光的——一名涉嫌的北韓操作員被反向駭客入侵。
一名未具名的消息來源獲得了其中一台設備的訪問權限,揭露了一批內部資料:截圖、Google Drive導出和Chrome資料,這些資料描繪了駭客如何協調他們的計劃。
這些文件呈現出驚人的畫面:六名特工運行著至少31個假身份。
他們的操作手冊詳細揭示了從追蹤開支和截止日期的電子表格,到使用Google翻譯進行英語欺騙,甚至租用計算機、VPN和AnyDesk以實現隱秘訪問。
ZachXBT隨後追蹤了被盜資金的鏈上活動,揭示了一個與2025年6月68萬美元Favrr劫案「密切相關」的錢包地址。
這些揭示確認了這是一場由假冒合法開發者的熟練行為者進行的深度協調滲透行動,最終因為一台被遺留的脆弱設備而暴露。
假開發者計劃
反向駭客揭露了一系列的虛假身份,這些身份不僅僅是用戶名那麼簡單。
他們獲得了政府簽發的身份證、電話號碼,甚至購買了LinkedIn和Upwork帳號,使他們能夠令人信服地自我介紹為經驗豐富的區塊鏈開發者。
有些人甚至假冒高知名度機構的員工,以全棧工程師的身份面試Polygon Labs,並自誇在OpenSea和Chainlink的經驗。
該團體保持了預先編寫的面試腳本,潤飾了針對每個假身份的回答。
最終,這種層次分明的幻象使他們能夠獲得開發者角色,並訪問敏感系統和錢包,從內部行動,同時隱藏在精心製作的虛擬身份後面。
這是一場基於身份的深度滲透。
他們使用的工具和戰術
北韓駭客的巧妙之處在於使用日常工具精心策劃的欺騙。
六名特工之間的協調通過Google Drive導出、Chrome資料和共享電子表格來進行,這些資料詳細記錄了任務、排程和預算——所有資料都用英語精心記錄,並通過Google翻譯在韓語和英語之間進行潤色。
為了精確執行他們的滲透,團隊依賴於AnyDesk遠程訪問和VPN,掩蓋他們的真實位置,同時向毫無戒心的雇主展示自己是合法開發者。在某些情況下,他們甚至租用計算機以進一步模糊他們的來源。
洩露的財務文件顯示,他們的運作經費是相當充足的。2025年5月,該團體在運營開支上花費了1,489.80美元,包括VPN訂閱、租用硬件和維持多個身份所需的基礎設施。
在專業合作的外衣下,隱藏著一個精心設計的幻象,一個支持深度滲透的企業級項目管理系統,背後是實際的運營開支和技術掩護。
你知道嗎?北韓最先進的網絡單位121局,由一些政權的頂尖技術人才組成,許多人是從精英大學挑選出來的,經過多年的嚴格培訓。
遠程工作滲透
這個北韓團體在Favrr劫案中使用了看似合法的求職申請(而不是垃圾郵件或釣魚攻擊,這一點令人驚訝)。
他們通過Upwork、LinkedIn和其他自由職業平台,獲得了區塊鏈開發者的角色。憑藉著精心設計的身份,配合量身定制的簡歷和面試準備好的腳本,他們在假裝遠程工作的情況下獲得了客戶系統和錢包的訪問權限。這次滲透如此真實,以至於一些面試官可能從未懷疑到有任何問題。
這一策略代表了一種更大的現象。調查顯示,北韓的IT特工經常通過獲得遠程職位來滲透組織。這些滲透者利用深偽技術通過背景和參考檢查,並使用AI增強的簡歷,提供服務的同時為惡意活動鋪平道路。
從本質上講,網絡間諜的威脅並不僅限於惡意軟件。這一事件顯示,這一威脅也深植於通過遠程工作基礎設施獲得的信任訪問中。
你知道嗎?到2024年,北韓在全球擁有約8,400名網絡特工,假裝成為遠程工作者以滲透公司並產生非法收入,特別是將資金引向政權的武器計劃。
更廣泛的背景和國家支持的行動
在2025年2月,北韓的Lazarus集團(以TraderTraitor的名義運作)執行了迄今為止最大的加密貨幣劫案,從Bybit交易所竊取了約15億美元的以太幣,這是在一次例行的錢包轉移中發生的。
美國聯邦調查局確認了這次駭客攻擊,並警告加密貨幣行業封鎖可疑地址,指出這次攻擊是北韓更廣泛的網絡犯罪策略的一部分,旨在為其政權提供資金,包括核武器和導彈計劃。
除了大規模的直接盜竊,北韓還利用了更隱秘的手段。網絡安全研究人員,包括Silent Push,發現Lazarus的附屬機構設立了美國空殼公司Blocknovas和Softglide,通過假工作邀請向毫無戒心的加密開發者分發惡意軟件。
這些行動使目標感染了BeaverTail、InvisibleFerret和OtterCookie等病毒,從而獲得了遠程訪問權限並實現了憑證盜竊。
這些技術揭示了雙重威脅:大膽的交易所級攻擊和隱秘的內部滲透。其總體目標始終如一:在制裁的雷達下產生非法收入。
值得注意的是,這些網絡犯罪行動對於資助北韓的武器計劃和維持政權的外匯生命線至關重要。
—
這篇報導揭示了北韓駭客的複雜運作模式,特別是他們如何利用現代科技和社交媒體來偽裝自己,進行深入的滲透。這不僅僅是技術上的挑戰,更是對全球加密貨幣行業的一次警示。隨著越來越多的公司採用遠程工作模式,這類事件可能會成為常態,企業必須加強對員工身份的驗證和安全措施,以防止類似的事件再次發生。這也引發了對國際社會在打擊國家支持的網絡犯罪方面應採取更強有力行動的思考。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
🎬 YouTube Premium 家庭 Plan成員一位 只需 HK$148/年!
不用提供密碼、不用VPN、無需轉區
直接升級你的香港帳號 ➜ 即享 YouTube + YouTube Music 無廣告播放
