如何31名北韓「開發者」欺騙頂尖加密公司並竊取68萬美元
============================================================================
2025年Favrr竊案
——————–
在一個堪比網絡驚悚片的情節中,一群冒充區塊鏈開發者的人在2025年6月對粉絲代幣市場Favrr進行了68萬美元的竊取,最終卻因為其中一台設備被反向入侵而暴露。
驚人的事實浮出水面:六名北韓特工擁有至少31個假身份。他們持有偽造的政府身份證、電話號碼,還有虛構的LinkedIn和Upwork個人資料。有些甚至假裝成Polygon Labs、OpenSea和Chainlink的員工,潛入加密行業。
數位線索(截圖、Google Drive導出、Chrome個人資料)顯示他們是多麼精心策劃這次滲透。
加密調查員ZachXBT追蹤了他們的鏈上活動,將一個錢包地址與Favrr的攻擊事件聯繫起來,確認這不僅僅是一個釣魚計劃,而是一場協調的開發者級滲透。
你知道嗎?與北韓有關的黑客在2024年竊取了約13.4億美元的加密貨幣,佔全球盜竊的60%。這些攻擊涉及47起事件,是前一年的兩倍。
如何發現這次黑客攻擊
—————————
Favrr的安全漏洞透過一個網絡命運的轉折被揭露——一名涉嫌的北韓操作員被反向入侵。
一名未具名的消息來源獲得了他們一台設備的訪問權限,揭開了一系列內部資料的寶藏:截圖、Google Drive導出和Chrome個人資料,這些資料描繪了黑客如何協調他們的計劃。
這些文件呈現出驚人的畫面:六名特工運行著至少31個假身份。
他們的操作手冊詳細揭示了從跟蹤開支和截止日期的電子表格到利用Google翻譯進行英語欺騙的過程,還包括租用的計算機、VPN和AnyDesk以實現隱秘訪問。
加密偵探ZachXBT隨後追蹤了被盜資金的鏈上活動,發現了一個與2025年6月68萬美元Favrr攻擊「密切相關」的錢包地址。
這些揭露證實了這是一場由技術嫻熟的演員所發起的深度協調滲透,他們假裝成合法開發者,最終卻因為一台被留下的脆弱設備而暴露。
假開發者計劃
————————-
反向入侵揭示了一系列虛構的人物,這些人物的身份遠不止於簡單的用戶名。
他們獲得了政府簽發的身份證、電話號碼,甚至購買了LinkedIn和Upwork帳戶,使他們能夠可信地自我呈現為經驗豐富的區塊鏈開發者。
有些甚至假裝成高知名度公司的員工,作為全棧工程師面試Polygon Labs,並吹噓自己在OpenSea和Chainlink的經驗。
該小組維持著預先編寫的面試腳本,精心打磨針對每個假身份的回答。
最終,這種層次分明的假象使他們能夠獲得開發者職位,並訪問敏感系統和錢包,從內部行動,同時隱藏在精心製作的虛擬形象背後。
這是一場基於身份的深度滲透。
他們使用的工具和策略
——————————-
北韓黑客的巧妙之處在於利用日常工具精心策劃的欺騙。
六名特工之間的協調通過Google Drive導出、Chrome個人資料和共享電子表格進行,這些資料詳細記錄了任務、日程和預算——所有這些都用英語精心登錄,並通過Google翻譯在韓語和英語之間進行平滑轉換。
為了精確執行他們的滲透,該團隊依賴AnyDesk遠程訪問和VPN,隱藏他們的真實位置,同時向毫無戒心的雇主展示自己是合法的開發者。在某些情況下,他們甚至租用了計算機以進一步掩蓋來源。
泄露的財務文件顯示,他們的操作預算相當充足。在2025年5月,該小組在運營開支上花費了1,489.80美元,包括VPN訂閱、租用硬件和維護多個身份所需的基礎設施。
在專業合作的表面下,隱藏著一個精心設計的幻覺,一個支持深度入侵的企業級項目管理系統,背後是實際的運營開支和技術掩護。
你知道嗎?北韓最先進的網絡單位121局,由一些政權的頂尖技術人才組成,許多人是從精英大學經過多年的密集訓練後精挑細選出來的。
遠程工作滲透
———————–
這個北韓團體在Favrr竊案中使用了看似合法的工作申請(而不是垃圾郵件或釣魚,這點令人驚訝)。
他們通過Upwork、LinkedIn和其他自由職業平台獲得了區塊鏈開發者的職位。憑藉精心打造的人物形象,配有量身定制的簡歷和面試準備腳本,他們在遠程工作的幌子下獲得了客戶系統和錢包的訪問權限。這種滲透非常真實,以至於一些面試官可能根本沒有懷疑到任何異常。
這一策略代表了一個更大的趨勢。調查顯示,北韓IT操作員定期通過獲得遠程職位來滲透組織。這些滲透者利用深偽工具通過背景和參考檢查,並使用AI增強的簡歷,提供服務,同時為惡意活動鋪平道路。
從本質上講,網絡間諜威脅不僅限於惡意軟件。這一事件顯示,這種威脅也嵌入在通過遠程工作基礎設施獲得的可信訪問中。
你知道嗎?到2024年,北韓在全球擁有約8,400名網絡操作員,假裝成遠程工作者滲透公司並產生非法收入,尤其是將資金引導向政權的武器計劃。
更廣泛的背景和國家支持的行動
————————————
在2025年2月,北韓的Lazarus Group(以TraderTraitor的名義運作)執行了迄今為止最大的加密貨幣竊案,從Bybit交易所竊取了約15億美元的以太幣,這是在一次例行錢包轉移中發生的。
美國聯邦調查局確認了這次黑客攻擊,並警告加密行業封鎖可疑地址,指出這次攻擊是北韓更廣泛的網絡犯罪策略的一部分,旨在為其政權提供資金,包括核武器和導彈計劃。
除了大規模的直接盜竊,北韓還利用更隱蔽的手段。網絡安全研究人員,包括Silent Push,發現Lazarus的附屬機構設立了美國空殼公司Blocknovas和Softglide,通過虛假的工作機會向毫無戒心的加密開發者分發惡意軟件。
這些活動使目標感染了像BeaverTail、InvisibleFerret和OtterCookie等病毒,從而獲得遠程訪問並實現憑證盜竊。
這些技術揭示了雙重威脅:大膽的交易所級攻擊和隱秘的內部滲透。其總體目標保持一致:在制裁的監視下,生成非法收入。
值得注意的是,這些網絡犯罪行動是資助北韓武器計劃和維持政權外匯生命線的核心。
這一事件不僅揭示了北韓黑客的技術能力,也反映了全球加密行業在安全防護上的脆弱性。隨著遠程工作的普及,企業必須更加警惕這類潛在的內部威脅,並加強對員工背景的審查,以防止類似事件的再次發生。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
