ZachXBT全文：反骇北韩骇客设备后，我明白了他们的「工作」模式

知名链上侦探 ZachXBT 引用白帽骇客的调查，揭露一个北韩五人骇客团队如何操纵假身份渗透开发专案。本文深入分析其工作模式、支出明细及资金流向，提供防范此类威胁的关键见解。本文源自ZachXBT所着文章，由Azuma，Odaily 星球日报整理、编译及撰稿。 （前情提要：微软联手FBI打击北韩骇客诈骗！冻结3,000个帐号，抓出美国「打工仔共犯」 ） （背景补充：币托BitoPro遭骇调查是北韩拉撒路Lazarus！社交工程攻击窃走1150万美元 ） 北韩骇客一直是加密货币市场的一大威胁。往年，受害者及业内安全工作者只能透过每期相关的安全事件逆向去推测北韩骇客的行为模式，而昨日，知名链上侦探 ZachXBT 在最新推文中引用了某位白帽骇客反骇北韩骇客的调查分析，首次以主动视角揭露了北韩骇客的「工作」方法，或对业界专案进行事前安全布防有着一定的积极意义。 以下为 ZachXBT 全文内容，由 Odaily 星球日报编译。 某个不愿透露姓名的匿名骇客近期入侵了某个北韩 IT 工作者的设备，由此曝光了一个五人技术团队如何操纵 30 多个伪造身份进行活动的内幕。该团队不仅持有政府签发的虚假身份证件，还透过购买 Upwork/LinkedIn 帐号渗透着各类开发专案。 调查人员获取了其 Google 云端硬碟数据、Chrome 浏览器设定档及设备截图。数据显示，该团队高度依赖 Google 系列工具协调工作日程、任务分配及预算管理，所有沟通均使用英文。 2025 年内的一份周报文件揭露了该骇客团队的工作模式以及期间遇到的困难，例如有成员曾抱怨「无法理解工作要求，不知道该做什么」，对应的解决方案栏中竟填写着「用心投入，加倍努力」…… 支出明细记录则显示，他们的支出项包括社会安全码 (SSN) 购买，Upwork、LinkedIn 帐号交易、电话号码租用、AI 服务订阅、电脑租赁及 VPN / 代理服务采购等等。 其中一份电子表格详细记录了以虚假身份「Henry Zhang」参加会议的时间安排及话术脚本。操作流程显示，这些北韩 IT 工作者会先购置 Upwork 和 LinkedIn 帐号，租用电脑设备，随后透过 AnyDesk 远端控制工具完成外包工作。 他们用于收发款项的其中一个钱包地址为： 0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c； 该地址与 2025 年 6 月发生的 68 万美元 Favrr 协议攻击事件存在密切链上关联，事后证实其技术长及其他开发人员均为持伪造证件的北韩 IT 工作者。透过该地址还识别出其他渗透专案的北韩 IT 人员。 该团队的搜索记录和浏览器历史中还发现以下关键证据。 可能有人会问「如何确认他们来自北韩」？除了上面详述的所有欺诈性文件之外，他们的搜索历史还显示他们频繁使用 Google 翻译，并使用俄罗斯 IP 翻译成韩语。 就当前而言，企业在防范北韩 IT 工作者的主要挑战集中在以下方面： 系统性协作缺失：平台服务商与私营企业之间缺乏有效的资讯共享与合作机制； 雇佣方失察：用人团队在收到风险警示后往往表现出防御性态度，甚至拒绝配合调查； 数量优势冲击：虽然其技术手段并不复杂，但凭借庞大的求职者基数持续渗透全球就业市场； 资金转换渠道：Payoneer 等支付平台被频繁用于将开发工作所得法币收入兑换为加密货币； 我已经多次介绍过需要注意的指标，感兴趣的可以翻阅我的历史推文，在此就不再重复赘述了。 相关报导 Google Cloud警告：北韩IT间谍攻击扩大，全球企业应警惕 全球网路普及率最低》北韩骇客Lazarus为何这么强？屡破各大企业安全网，拉萨路成金正恩赚钱机器发展核武 北韩比特币储备大增1.3万枚「成第三大持有国」仅次美英，骇客Lazarus如何冲击全球加密军备赛？〈ZachXBT全文：反骇北韩骇客设备后，我明白了他们的「工作」模式〉这篇文章最早发布于动区BlockTempo《动区动趋-最具影响力的区块链新闻媒体》。