谷歌文档、Upwork 和 LinkedIn：北朝鲜 IT 工人的秘密加密货币操作内幕

知名区块链侦探ZachXBT的调查揭示了朝鲜在全球加密货币开发就业市场中的广泛渗透。

最近一个未透露姓名的消息来源入侵了一名朝鲜IT工作人员的设备，并提供了前所未有的洞察，展示了一个由五名IT工作人员组成的小团队如何运作超过30个虚假身份。

朝鲜特工涌入加密工作市场

根据ZachXBT的推文，朝鲜团队 reportedly 使用政府签发的身份证在Upwork和LinkedIn上注册账户，以获得多个项目的开发者角色。调查人员发现了工人的Google Drive、Chrome个人资料和屏幕截图的导出，这些资料显示Google产品在组织日程、任务和预算方面起到了核心作用，沟通主要用英语进行。

在这些文件中，有一个包含2025年的电子表格，里面包含了团队成员的每周报告，这些报告阐明了他们的内部运作和心态。典型的条目包括这样的陈述：“我无法理解工作要求，也不知道我需要做什么”，以及自我指导的备注：“解决方案/修复：投入足够的心力。”

另一个电子表格跟踪开支，显示购买社保号码、Upwork 和 LinkedIn 账户、电话号码、AI 订阅、计算机租赁以及 VPN 或代理服务的情况。还找到了假身份的会议安排和脚本，其中一个名为“Henry Zhang”的身份。

该团队的运营方法 reportedly 涉及购买或租赁计算机，使用 AnyDesk 远程工作，并通过 Payoneer 将赚取的法币转换为加密货币。与该组织相关的一个钱包地址 0x78e1 在链上与 2025 年 6 月 Favrr 的 $680,000 漏洞相连，项目的首席技术官和其他开发人员随后被确定为使用伪造文件的朝鲜 IT 工作者。与该地址 0x78e1 相关的其他朝鲜关联的工作人员与项目相连。

他们北韩血统的指标包括频繁使用谷歌翻译进行从俄罗斯IP地址进行的韩语搜索。ZachXBT表示，这些IT工作者并不特别复杂，但他们的坚持受到他们在世界各地目标角色数量的支持。

应对这些操作的挑战包括私营公司和服务之间的合作不佳，以及当报告欺诈活动时团队的抵制。

北朝鲜的持续威胁

朝鲜黑客，特别是拉撒路集团，继续对行业构成重大威胁。在2025年2月，该集团策划了历史上最大的加密货币交易所黑客攻击，从位于迪拜的Bybit盗取了大约15亿美元的以太坊。

此次攻击利用了第三方钱包供应商Safe{Wallet}的漏洞，使黑客能够绕过多重签名安全措施，将资金 siphon 到多个钱包中。FBI将此次泄露归因于朝鲜特工，并将其标记为“TraderTraitor”。

随后，在2025年7月，印度的加密货币交易所CoinDCX遭遇了4400万美元的盗窃事件，这也与朝鲜的Lazarus集团有关。攻击者渗透了CoinDCX的流动性基础设施，利用暴露的内部凭证执行了盗窃。