如何31名北韓「開發者」欺騙頂尖加密公司並竊取68萬美元
============================================================================
2025 Favrr 竊案
——————–
在一場值得拍成網絡驚悚片的事件中,一群假冒區塊鏈開發者於2025年6月在粉絲代幣市場Favrr進行了68萬美元的竊案,最終卻因為其中一台設備被反向駭客攻擊而暴露。
驚人的事實浮出水面:六名北韓特工擁有至少31個假身份。他們持有偽造的政府身份證、電話號碼,還創建了虛假的LinkedIn和Upwork個人資料。有些甚至假冒來自Polygon Labs、OpenSea和Chainlink的人才,成功潛入加密行業。
數位線索(截圖、Google Drive導出、Chrome個人資料)顯示他們是多麼精心策劃這次滲透。
加密調查員ZachXBT追蹤了他們的鏈上活動,將一個錢包地址與Favrr的竊案聯繫起來,確認這不僅僅是一個釣魚計劃,而是一場協調的開發者級別的滲透行動。
你知道嗎?與北韓相關的駭客在2024年竊取了約13.4億美元的加密貨幣,佔全球盜竊的60%。這些攻擊涉及47起事件,數量是前一年的兩倍。
如何發現這次駭客事件
—————————
Favrr的安全漏洞是通過一場網絡命運的轉折曝光的——一名涉嫌的北韓操作者被反向駭客攻擊。
一名未具名的消息來源獲得了他們一台設備的訪問權,揭露了一批內部資料:截圖、Google Drive導出和Chrome個人資料,詳細描繪了駭客如何協調他們的計劃。
這些文件描繪了一幅驚人的畫面:六名特工運營著至少31個假身份。
他們的操作手冊詳細揭示了從追蹤開支和截止日期的電子表格到使用Google翻譯進行英語欺騙的各種工具,甚至包括租用計算機、VPN和AnyDesk以實現隱秘訪問。
ZachXBT隨後在鏈上追蹤了被盜資金,揭示了一個與2025年6月的68萬美元Favrr竊案「密切相關」的錢包地址。
這些揭示確認了這是一場由技術嫻熟的演員進行的深度協調滲透行動,所有的罪證都因為一台被遺留的脆弱設備而曝光。
假開發者計劃
————————-
反向駭客揭露了一系列超越簡單用戶名的虛假身份。
他們獲得了政府簽發的身份證、電話號碼,甚至購買了LinkedIn和Upwork帳戶,使他們能夠自信地呈現自己為經驗豐富的區塊鏈開發者。
有些甚至假冒高知名度企業的員工,作為全棧工程師面試Polygon Labs,並吹噓自己在OpenSea和Chainlink的經驗。
該團隊維持著預先編寫的面試腳本,精心打磨針對每個假身份的回答。
最終,這種層層的幻象使他們能夠獲得開發者角色,並訪問敏感系統和錢包,從內部行動,同時隱藏在專業製作的虛擬形象後面。
這是一場深度的、基於身份的滲透。
他們使用的工具和戰術
——————————-
北韓駭客的巧妙之處在於利用日常工具精心策劃的欺騙行為。
六名特工之間的協調通過Google Drive導出、Chrome個人資料和共享電子表格進行,這些文件詳細記錄了任務、日程和預算——所有內容都用英語精心記錄,並通過Google翻譯在韓語和英語之間進行平滑過渡。
為了精確執行滲透,團隊依賴AnyDesk遠程訪問和VPN,掩蓋他們的真實位置,同時向毫不知情的雇主顯示自己是合法的開發者。在某些情況下,他們甚至租用了計算機以進一步掩蓋自己的來源。
泄露的財務文件顯示,他們的運營預算相當充足。2025年5月,該團隊花費了1,489.80美元於運營開支,包括VPN訂閱、租用硬件和維持多個身份所需的基礎設施。
在專業合作的外衣下,隱藏著一個精心設計的幻象,一個支持深度滲透的企業級項目管理系統,背後是實際的運營支出和技術掩護。
你知道嗎?北韓最先進的網絡單位121局由一些政權的頂尖技術人才組成,許多人是從精英大學經過多年的嚴格訓練後精心挑選出來的。
遠程工作滲透
———————–
這個北韓團隊在Favrr竊案中使用了看似合法的工作申請(而不是垃圾郵件或釣魚,這一點令人驚訝)。
他們通過Upwork、LinkedIn和其他自由職業平台獲得了區塊鏈開發者的角色。憑藉精心製作的形象,包括量身定制的簡歷和面試準備好的腳本,他們在遠程工作中獲得了客戶系統和錢包的訪問權。這種滲透如此真實,以至於一些面試官可能從未懷疑到任何異常。
這種策略代表了一個更大的現象。調查顯示,北韓IT特工經常通過獲得遠程職位來滲透組織。這些滲透者使用深偽技術通過背景和參考檢查,並利用AI增強的簡歷,提供服務的同時為惡意活動鋪平道路。
從本質上講,網絡間諜威脅不僅限於惡意軟件。這一事件表明,這種威脅也嵌入在通過遠程工作基礎設施獲得的可信訪問中。
你知道嗎?到2024年,北韓在全球擁有約8,400名網絡特工,假冒遠程工作者滲透公司並產生非法收入,特別是將資金引向政權的武器計劃。
更廣泛的背景和國家支持的行動
————————————
在2025年2月,北韓的Lazarus集團(以TraderTraitor為別名)執行了迄今為止最大的加密貨幣竊案,從Bybit交易所竊取了約15億美元的以太幣,這是在一次例行錢包轉移中發生的。
美國聯邦調查局確認了這次駭客攻擊,並警告加密行業阻止可疑地址,指出這次攻擊是北韓更廣泛的網絡犯罪策略的一部分,旨在為其政權提供資金,包括核武器和導彈計劃。
除了大規模的直接盜竊外,北韓還利用更隱蔽的手段。網絡安全研究人員,包括Silent Push,發現Lazarus的附屬機構設立了美國空殼公司Blocknovas和Softglide,通過假工作邀請向無辜的加密開發者散佈惡意軟件。
這些行動感染了目標,使用如BeaverTail、InvisibleFerret和OtterCookie等病毒,獲得遠程訪問權限並進行憑證竊取。
這些技術揭示了雙重威脅:大膽的交易所級攻擊和隱秘的內部滲透。其總體目標始終如一:在制裁的監視下生成非法收入。
值得記住的是,這類網絡犯罪行動是資助北韓武器計劃和維持政權外匯生命線的核心。
—
這篇文章揭示了北韓駭客的精明與謀劃,尤其是他們如何利用現代科技和社交媒體的便利進行深度滲透。這不僅是對加密行業的警示,更是對全球網絡安全的一次深刻反思。隨著科技的進步,未來的駭客攻擊可能會變得更為複雜和難以防範,企業必須加強內部安全措施,並提高對潛在威脅的警覺。這也提醒我們,在尋找遠程工作機會時,必須更加謹慎,以防自己成為這類陰謀的受害者。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
