ZachXBT：反向黑掉朝鮮黑客設備後，我明白了他們的“工作”模式

作者：ZachXBT

編譯：Azuma，星球日報

編者按：朝鮮黑客一直是加密貨幣市場的一大威脅。往年，受害者及業內安全工作者只能通過每期相關的安全事件逆向去推測朝鮮黑客的行爲模式，而昨日，知名鏈上偵探 ZachXBT 在最新推文中引用了某位白帽黑客反向黑掉朝鮮黑客的調查分析，首次以主動視角揭露了朝鮮黑客的「工作」方法，或對業界項目進行事前安全布防有着一定的積極意義。

以下爲 ZachXBT 全文內容，由 Odaily 星球日報編譯。

某個不願透露姓名的匿名黑客近期入侵了某個朝鮮 IT 工作者的設備，由此曝光了一個五人技術團隊如何操縱 30 多個僞造身分進行活動的內幕。該團隊不僅持有政府籤發的虛假身分證件，還通過購買 Upwork/LinkedIn 帳號滲透着各類開發項目。

調查人員獲取了其 Google 雲端硬盤數據、Chrome 瀏覽器配置文件及設備截圖。數據顯示，該團隊高度依賴 Google 系列工具協調工作日程、任務分配及預算管理，所有溝通均使用英文。

2025 年內的一份週報文件揭露了該黑客團隊的工作模式以及期間遇到的困難，例如有成員曾抱怨「無法理解工作要求，不知道該做什麼」，對應的解決方案欄中竟填寫着「用心投入，加倍努力」……

支出明細記錄則顯示，他們的支出項包括社會安全號碼（SSN）購買，Upwork、LinkedIn 帳號交易、電話號碼租用、AI 服務訂閱、電腦租賃及 VPN / 代理服務採購等等。

其中一份電子表格詳細記錄了以虛假身分「Henry Zhang」參加會議的時間安排及話術腳本。操作流程顯示，這些朝鮮 IT 工作者會先購置 Upwork 和 LinkedIn 帳號，租用電腦設備，隨後通過 AnyDesk 遠程控制工具完成外包工作。

他們用於收發款項的其中一個錢包地址爲：

0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c；

該地址與 2025 年 6 月發生的 68 萬美元 Favrr 協議攻擊事件存在密切鏈上關聯，事後證實其 CTO 及其他開發人員均爲持僞造證件的朝鮮 IT 工作者。通過該地址還識別出其他滲透項目的朝鮮 IT 人員。

該團隊的搜索記錄和瀏覽器歷史中還發現以下關鍵證據。

可能有人會問「如何確認他們來自朝鮮」？除了上面詳述的所有欺詐性文件之外，他們的搜索歷史還顯示他們頻繁使用谷歌翻譯，並使用俄羅斯 IP 翻譯成韓語。

就當前而言，企業在防範朝鮮 IT 工作者的主要挑戰集中在以下方面：

• 系統性協作缺失：平台服務商與私營企業之間缺乏有效的信息共享與合作機制；
• 僱傭方失察：用人團隊在收到風險警示後往往表現出防御性態度，甚至拒絕配合調查；
• 數量優勢衝擊：雖然其技術手段並不復雜，但憑藉龐大的求職者基數持續滲透全球就業市場；
• 資金轉換渠道：Payoneer 等支付平台被頻繁用於將開發工作所得法幣收入兌換爲加密貨幣；

我已經多次介紹過需要注意的指標，感興趣的可以翻閱我的歷史推文，在此就不再重復贅述了。