北朝鲜IT工人使用30多个假身份证针对加密货币公司：报告

一名北朝鲜IT工作人员的被攻陷设备暴露了680,000美元Favrr黑客团队的内部运作及其利用谷歌工具针对加密项目的方式。

摘要

• 一名北朝鲜IT工作人员的受损设备暴露了威胁行为者的内部运作。
• 证据表明，特工使用谷歌提供的工具、AnyDesk 和 VPN 渗透加密公司。

根据链上侦探ZachXBT的说法，线索始于一个未透露姓名的来源，该来源获得了其中一名工作人员的计算机的访问权限，揭示了屏幕截图、Google Drive导出和Chrome个人资料，这些资料揭示了这些行动者如何策划和实施他们的计划。

通过分析钱包活动和匹配数字指纹，ZachXBT 验证了源材料，并将该团体的加密货币交易与 2025 年 6 月的粉丝代币市场 Favrr 的攻击事件联系起来。一个钱包地址 "0x78e1a" 显示出与该事件被盗资金的直接关联。

运营内部

被攻陷的设备显示，这个小团队——总共六名成员——共享至少31个虚假身份。为了获得区块链开发工作，他们收集了政府签发的身份证明和电话号码，甚至购买了LinkedIn和Upwork账户来完善他们的伪装。

在设备上找到的一份采访稿显示，他们自夸在知名区块链公司工作的经验，包括Polygon Labs、OpenSea和Chainlink。

谷歌工具是他们有序工作流程的核心。威胁行为者被发现使用驱动器电子表格来跟踪预算和日程，而谷歌翻译弥补了韩语和英语之间的语言差距。

从设备提取的信息中，有一份电子表格显示IT工作人员正在租用计算机并支付VPN费用，以购买新账户用于他们的操作。

团队还依赖于远程访问工具，如AnyDesk，使他们能够控制客户系统而不透露真实位置。VPN日志将他们的活动与多个地区关联起来，掩盖了朝鲜的IP地址。

额外的发现揭示了该集团正在寻找在不同区块链上部署代币的方法，考察欧洲的人工智能公司，并绘制出加密领域的新目标。

北朝鲜威胁行为者利用远程工作

ZachXBT在多个网络安全报告中发现了相同的模式——朝鲜IT工人获得合法的远程工作，从而渗入加密行业。通过伪装成自由开发者，他们获得了代码库、后台系统和钱包基础设施的访问权限。

在设备上发现的一份文件是面试笔记和准备材料，这些材料可能是为了在与潜在雇主的通话中保持在屏幕上或附近而准备的。