Nota do Editor: Os hackers norte-coreanos sempre foram uma grande ameaça ao mercado de criptomoedas. Nos anos anteriores, as vítimas e os profissionais de segurança da indústria podiam apenas inferir os padrões de comportamento dos hackers norte-coreanos através da análise reversa de eventos de segurança relevantes. No entanto, ontem, o famoso detetive da blockchain ZachXBT citou em seu último tweet a análise de um hacker ético que reverteu as ações dos hackers norte-coreanos, revelando pela primeira vez a "metodologia de trabalho" dos hackers norte-coreanos sob uma perspectiva proativa, o que pode ter um certo significado positivo para a segurança preventiva de projetos na indústria.
Segue o conteúdo completo de ZachXBT, traduzido pelo Odaily Planet Daily.
Um hacker anônimo que não deseja revelar sua identidade recentemente invadiu o dispositivo de um trabalhador de TI norte-coreano, expondo assim os bastidores de como uma equipe técnica de cinco pessoas manipula mais de 30 identidades falsas para realizar atividades. A equipe não apenas possui documentos de identidade falsos emitidos pelo governo, mas também infiltra-se em vários projetos de desenvolvimento por meio da compra de contas do Upwork/LinkedIn.
Os investigadores obtiveram os dados do Google Drive, o perfil do navegador Chrome e capturas de ecrã do dispositivo. Os dados mostram que a equipa depende fortemente das ferramentas do Google para coordenar agendas de trabalho, atribuição de tarefas e gestão de orçamento, toda a comunicação é feita em inglês.
Um relatório semanal de 2025 revelou os métodos de trabalho da equipe de hackers e as dificuldades encontradas durante o período, como um membro que se queixou de "não conseguir entender os requisitos do trabalho, não saber o que fazer", e na coluna de soluções correspondente foi escrito "dedicar-se e trabalhar em dobro"...
Os registos detalhados de despesas mostram que os seus itens de despesa incluem a compra de números de segurança social (SSN), transações de contas Upwork e LinkedIn, aluguer de números de telefone, subscrições de serviços de IA, aluguer de computadores e aquisição de serviços de VPN / proxy, entre outros.
Uma das planilhas detalha o cronograma e o script de fala para participar da reunião sob a falsa identidade "Henry Zhang". O fluxo de trabalho mostra que esses trabalhadores de TI da Coreia do Norte compram contas no Upwork e LinkedIn, alugam equipamentos de computador e, em seguida, completam o trabalho de outsourcing através da ferramenta de controle remoto AnyDesk.
Um dos endereços da carteira que eles usam para enviar e receber pagamentos é:
0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c;
Este endereço tem uma estreita ligação on-chain com o ataque ao protocolo Favrr de 680 mil dólares ocorrido em junho de 2025, sendo confirmado posteriormente que seu CTO e outros desenvolvedores eram trabalhadores de TI da Coreia do Norte com documentos falsificados. Através deste endereço, também foram identificados outros trabalhadores de TI da Coreia do Norte envolvidos em projetos de infiltração.
Foram encontradas as seguintes evidências-chave nos registros de pesquisa e no histórico do navegador da equipe.
Pode haver quem pergunte "como confirmar que eles vêm da Coreia do Norte"? Além de todos os documentos fraudulentos detalhados acima, seu histórico de pesquisa também mostra que eles usam frequentemente o Google Translate e utilizam IPs russos para traduzir para o coreano.
Atualmente, os principais desafios das empresas na prevenção de trabalhadores de TI da Coreia do Norte concentram-se nos seguintes aspectos:
Falta de colaboração sistemática: falta de mecanismos eficazes de compartilhamento de informações e cooperação entre prestadores de serviços da plataforma e empresas privadas;
Falha de vigilância do empregador: a equipe de contratação muitas vezes adota uma atitude defensiva após receber um aviso de risco, chegando até a recusar-se a colaborar com a investigação;
Vantagem de quantidade: embora suas técnicas não sejam complexas, continua a penetrar no mercado de trabalho global devido à grande base de candidatos.
Canais de conversão de fundos: plataformas de pagamento como Payoneer são frequentemente utilizadas para converter a receita em moeda fiduciária obtida através de trabalho de desenvolvimento em criptomoeda;
Já introduzi várias vezes os indicadores a que se deve prestar atenção. Os interessados podem consultar os meus tweets anteriores, por isso não vou repetir-me aqui.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
ZachXBT: Após a reversão do dispositivo dos hackers da Coreia do Norte, percebi o seu modo de "trabalho".
Autor: ZachXBT
Compilado por: Azuma, Planet Daily
Nota do Editor: Os hackers norte-coreanos sempre foram uma grande ameaça ao mercado de criptomoedas. Nos anos anteriores, as vítimas e os profissionais de segurança da indústria podiam apenas inferir os padrões de comportamento dos hackers norte-coreanos através da análise reversa de eventos de segurança relevantes. No entanto, ontem, o famoso detetive da blockchain ZachXBT citou em seu último tweet a análise de um hacker ético que reverteu as ações dos hackers norte-coreanos, revelando pela primeira vez a "metodologia de trabalho" dos hackers norte-coreanos sob uma perspectiva proativa, o que pode ter um certo significado positivo para a segurança preventiva de projetos na indústria.
Segue o conteúdo completo de ZachXBT, traduzido pelo Odaily Planet Daily.
Um hacker anônimo que não deseja revelar sua identidade recentemente invadiu o dispositivo de um trabalhador de TI norte-coreano, expondo assim os bastidores de como uma equipe técnica de cinco pessoas manipula mais de 30 identidades falsas para realizar atividades. A equipe não apenas possui documentos de identidade falsos emitidos pelo governo, mas também infiltra-se em vários projetos de desenvolvimento por meio da compra de contas do Upwork/LinkedIn.
Os investigadores obtiveram os dados do Google Drive, o perfil do navegador Chrome e capturas de ecrã do dispositivo. Os dados mostram que a equipa depende fortemente das ferramentas do Google para coordenar agendas de trabalho, atribuição de tarefas e gestão de orçamento, toda a comunicação é feita em inglês.
Um relatório semanal de 2025 revelou os métodos de trabalho da equipe de hackers e as dificuldades encontradas durante o período, como um membro que se queixou de "não conseguir entender os requisitos do trabalho, não saber o que fazer", e na coluna de soluções correspondente foi escrito "dedicar-se e trabalhar em dobro"...
Os registos detalhados de despesas mostram que os seus itens de despesa incluem a compra de números de segurança social (SSN), transações de contas Upwork e LinkedIn, aluguer de números de telefone, subscrições de serviços de IA, aluguer de computadores e aquisição de serviços de VPN / proxy, entre outros.
Uma das planilhas detalha o cronograma e o script de fala para participar da reunião sob a falsa identidade "Henry Zhang". O fluxo de trabalho mostra que esses trabalhadores de TI da Coreia do Norte compram contas no Upwork e LinkedIn, alugam equipamentos de computador e, em seguida, completam o trabalho de outsourcing através da ferramenta de controle remoto AnyDesk.
Um dos endereços da carteira que eles usam para enviar e receber pagamentos é:
0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c;
Este endereço tem uma estreita ligação on-chain com o ataque ao protocolo Favrr de 680 mil dólares ocorrido em junho de 2025, sendo confirmado posteriormente que seu CTO e outros desenvolvedores eram trabalhadores de TI da Coreia do Norte com documentos falsificados. Através deste endereço, também foram identificados outros trabalhadores de TI da Coreia do Norte envolvidos em projetos de infiltração.
Foram encontradas as seguintes evidências-chave nos registros de pesquisa e no histórico do navegador da equipe.
Pode haver quem pergunte "como confirmar que eles vêm da Coreia do Norte"? Além de todos os documentos fraudulentos detalhados acima, seu histórico de pesquisa também mostra que eles usam frequentemente o Google Translate e utilizam IPs russos para traduzir para o coreano.
Atualmente, os principais desafios das empresas na prevenção de trabalhadores de TI da Coreia do Norte concentram-se nos seguintes aspectos:
Já introduzi várias vezes os indicadores a que se deve prestar atenção. Os interessados podem consultar os meus tweets anteriores, por isso não vou repetir-me aqui.