朝鲜IT工作者利用30多个虚假身份瞄准加密货币公司：报道

一名朝鲜IT工作者的设备遭入侵，揭露了涉及68万美元Favrr黑客攻击事件团队的内幕运作方式，以及他们利用谷歌工具针对加密货币项目的行径。

• 朝鲜IT工作者被攻破的设备曝光了黑客组织的内部运作模式
• 证据显示操作人员使用谷歌系工具、AnyDesk和VPN渗透加密货币公司

据链上侦探ZachXBT透露，线索始于匿名信源获取到其中一名成员的电脑访问权限，发现的截图、谷歌云端硬盘导出数据和Chrome配置文件揭开了该组织策划实施骗局的帷幕。

通过分析钱包活动并匹配数字指纹，ZachXBT核实了原始材料，将该组织的加密货币交易与2025年6月粉丝代币平台Favrr遭受的攻击相关联。其中"0x78e1a"开头的钱包地址直接关联到该事件中被盗资金。

黑客行动内幕

被入侵设备显示，这个六人小团队共用至少31个虚假身份。为获得区块链开发工作，他们收集政府颁发的身份证件和电话号码，甚至购买领英和Upwork账号完善伪装。

设备中发现的面试脚本显示，他们谎称拥有Polygon Labs、OpenSea和Chainlink等知名区块链公司的工作经验。

谷歌工具是其组织化工作流程的核心。调查发现黑客使用电子表格跟踪预算和进度，并通过谷歌翻译解决韩英语言障碍。

从设备获取的信息包括一份电子表格，显示IT工作者通过租用电脑和购买VPN服务来获取新账户开展活动。

该团队还依赖AnyDesk等远程访问工具，使其能在不暴露真实位置的情况下控制客户系统。VPN日志将其活动关联到多个地区，从而掩盖朝鲜IP地址。

其他发现表明，该组织正在研究跨链部署代币的方案，侦查欧洲AI公司，并锁定加密领域的新目标。

朝鲜黑客组织利用远程工作渗透

ZachXBT发现这与多份网络安全报告警示的模式一致——朝鲜IT工作者通过获取合法远程工作身份潜入加密领域。通过伪装成自由开发者，他们得以接触代码仓库、后台系统和钱包基础设施。

设备中曝光的一份文件显示，他们在与潜在雇主通话时，会将面试笔记和准备材料保持屏幕显示或随手可查状态。