ZachXBT揭露北韓駭客犯罪網路，佯裝開發者滲透團隊再捲款：月收50萬美元

1/ Recently a team reached out to me for assistance after $1.3M was stolen from the treasury after malicious code had been pushed.

Unbeknownst to the team they had hired multiple DPRK IT workers as devs who were using fake identities.

I then uncovered 25+ crypto projects with… pic.twitter.com/W7SgY97Rd8

— ZachXBT (@zachxbt) August 15, 2024

鏈上偵探 ZachXBT 最新的推文指出，他發現了一個由 21 位北韓開發者組成的駭客犯罪網路，參與並盜取了數十個加密專案資金，據稱每月能賺取高達 50 萬美元的不法收入。

ZachXBT 曝光北韓駭客犯罪網路

Zach 首先表示，這個位於亞洲並可能來自北韓的實體，僱用了至少 21 名員工，利用假身份滲透超過 25 個加密專案，在時機成熟後竊取團隊資金並一走了之，預估每月得手 30 萬至 50 萬美元。

詐騙與洗錢過程

他透露，他在調查某個專案的被駭事件時，發現了巧妙而熟悉的資金軌跡，透過專用的盜竊地址、混幣器及兩間交易所進行複雜的洗錢。

然而，在追蹤了多個地址後，他發現了更大規模的洗錢網路：

這些開發者在過去一個月內收到了 37.5 萬美元，去年 7 月至今的流入資金總額高達 550 萬美元。

Zach 強調，這些資金最終流向了被美國外國資產控制辦公室 (OFAC) 制裁的兩個個人「Sim Hyon Sop」及「Sang Man Kim」，據稱曾被指控與北韓的網路犯罪及軍武計劃有所關聯。

開發者偽裝身份應聘職位

同時，Zach 也點明了他們的滲透手法，透過假身份證 KYC 或漂亮的工作經歷取得專案方信任，接著再捲款走人：

一些開發者聲稱來自美國或馬來西亞，但卻被發現對話位址與俄羅斯 IP 重疊。

並補充，「有不少經驗豐富的團隊雇用了這些來自北韓的開發者而不知情，他們都偽造了身份。」

ZachXBT 提醒：問題問越深越好

對此，Zach 字裡行間也提醒著團隊需就以下人員多加留意：

1. 應聘者間似乎互相認識，甚至可能有互相推薦的情況
2. 優秀的 GitHub 或履歷，但對先前的工作經歷並不會如實回應
3. 同意進行 KYC，但提供假身份證件
4. 對自稱所在國家的細節並不清楚，團隊可以仔細詢問確認
5. 一開始表現良好，但後來逐漸表現不佳
6. 一個人被辭退，立刻出現另一個帳號應聘
7. 喜歡使用較為流行的 NFT 作為頭像

余弦：團隊慎防北韓開發者滲透

資安團隊慢霧創辦人余弦也引用了 ZachXBT 的推文，表示：

他們互相推薦入職，潛伏許久，技術能力不錯，你的公司運作地很好，養肥了之後便收網。

並補充，「這種事情不再新鮮，遺憾的是，總會有新花樣出現。」

北韓駭客犯罪猖獗

與北韓有關的網路犯罪層出不窮，其中同樣包含了惡名昭彰的駭客組織 Lazarus，過去曾策劃過多次網路攻擊及詐騙活動，包括釣魚攻擊、協議漏洞利用及人員滲透等。

鏈新聞此前曾盤點過 Lazarus 曾犯下的大型網路攻擊，受害者包括博弈平台 Stake.com 及交易所 CoinEx 等，劫走超過數億美元。

如今，今年涉及北韓駭客但仍未確定是否為 Lazarus 所為的駭客事件則有：

• 3 月：Blast 遊戲平台 Munchables 遭開發者自盜，損失約 6,250 萬美元
• 5 月：日本交易所 DMM Bitcoin 遭駭，損失約 3.05 億美元
• 7 月：印度交易所 WazirX 遭駭，損失約 2.35 億美元

(全是北韓駭客？Elliptic 分析 WazirX 是遭北韓駭客攻擊，日前 DMM 的三億美元也是？)

今年 2 月，聯合國也對此表達了嚴正態度，強調北韓駭客正透過大量的網路攻擊竊取資金，來資助該國的核彈計畫，過去 7 年內犯罪所得超過 30 億美元。

(聯合國報告：北韓以駭客盜取加密貨幣，籌資 30 億美元發展核武)