北朝鮮のフリーランスハッカーが構築した$680,000の暗号通貨強盗ネットワーク

最近の調査で、深刻な不正行為が明らかになった。北朝鮮のIT工作員の小規模ユニットが少なくとも31の偽の身分を維持し、暗号通貨プラットフォームに潜入して大規模な窃盗を行っていた。最も大きな事件は、2025年6月にファントークン市場Favrrから68万ドルを盗んだものである。

潜入戦略：信頼できるフリーランスプロフィールの構築

侵害されたデバイスから収集された情報によると、これらの北朝鮮のフリーランスハッカーは暗号業界に自らを浸透させるために巧妙なカバーアイデンティティを作り上げた。彼らは偽造の政府IDや電話番号を含む詳細な書類を作成し、信用を得るために既存のLinkedInやUpworkのアカウントを購入し、以前のユーザーの信用を借りていた。

ブロックチェーンエンジニアやスマートコントラクト開発の役割が彼らの主なターゲットとなった。証拠によると、一人の人物がPolygon Labsのフルスタックエンジニアのポジションに応募し、面接記録にはOpenSeaやChainlinkなどの著名な暗号企業での勤務経験を主張していた。これらの偽の資格は、彼らを無警戒な暗号通貨組織に巧みに潜入させた。

運用インフラ：リモートアクセスとデジタル隠蔽

暗号プロジェクトに潜入した後、フリーランスハッカーはAnyDeskなどの高度なリモートアクセスソフトを利用して作業を行いながら、物理的な距離を保った。VPN技術により地理的な位置を隠し、他地域の正当なリモートワーカーであるかのように見せかけていた。

Googleのツール群は彼らの運用の中心となった。漏洩したデータによると、彼らはGoogle Driveを通じてプロジェクトのスケジュールやタスク割り当て、予算管理を行っていた。Chromeのプロフィールエクスポートからは、英語でのコミュニケーションを維持するためにGoogleの翻訳サービスに大きく依存していることがわかる。2025年5月だけで、運用費用は1,489.8ドルに達していた。

雇用から搾取へ：Favrrの68万ドル侵害事件

調査は、このインフラと特定の暗号窃盗との直接的なつながりを明らかにした。ウォレットアドレス0x78e1aは、6月のFavrrハッキングから資金が流れているパターンと一致している。ブロックチェーンの証拠は、「Alex Hong」やその他の開発者を名乗る人物とつながっており、これらはすべて同じ北朝鮮の作戦の一部であることを示している。このチームは以前、2025年2月に暗号通貨取引所Bitbitを標的にし、業界を震撼させた14億ドルの窃盗を企てていた。

偶然にも、彼らの検索履歴からは、より広範な暗号インフラに関する情報収集も明らかになった。Solana上でのERC-20トークン展開に関するクエリや、ヨーロッパのAI開発企業に関する調査は、最初の事件を超えたターゲティングの拡大を示唆している。

より広範なリスク：なぜ暗号企業は依然として脆弱なのか

セキュリティ研究者は、これらのフリーランスハッカーが採用プロセスの根本的な弱点を突いたと指摘している。侵入手法は比較的単純であるにもかかわらず、暗号通貨企業は十分なデューデリジェンスを実施できていない。開発ポジションへの応募数の多さは採用チームの意思決定疲労を引き起こし、審査の甘さにつながっている。

暗号通貨企業とフリーランスプラットフォーム間の断絶も問題を悪化させている。両者ともに堅牢なクロスプラットフォームの検証システムを持たず、決定的な行動者が悪用できるギャップを生んでいる。米国財務省は、北朝鮮のIT労働者ネットワークに関与した2人と4つの団体に対して制裁を科しているが、民間セクターによるセキュリティ対策の採用は一貫していない。

教訓は明白だ。徹底した背景調査、クロスプラットフォームの情報共有、地理的に不一致な候補者プロフィールに対する懐疑心が、国家支援のフリーランスハッカーによる暗号セクターへの標的潜入を防ぐために必要な防御策である。