来自朝鲜的自由职业黑客如何建立了一个价值68万美元的加密货币盗窃网络

最近的一项调查揭露了一项令人震惊的行动：一支由朝鲜IT人员组成的小队维持了至少31个虚假身份，以渗透加密货币平台并进行大规模盗窃。已记录的最大事件发生在2025年6月，从Favrr粉丝代币市场盗取了680,000美元。

渗透策略：建立可信的自由职业者档案

从被攻破的设备中收集的情报显示，这些朝鲜自由职业黑客如何在加密行业中站稳脚跟。该团伙创建了精心设计的掩护身份，编制了包括伪造的政府身份证和电话号码在内的完整文件。为了在招聘平台上看起来合法，他们购买了成熟的LinkedIn和Upwork账户，实际上借用了前任用户的信誉。

区块链工程师职位和智能合约开发岗位成为他们的主要目标。有证据显示，一名黑客申请了Polygon Labs的全栈工程师职位，而面试记录显示他们声称曾在OpenSea和Chainlink等知名加密公司工作过。这些伪造的资历成功让他们得以进入毫无戒备的加密货币组织。

运营基础设施：远程访问与数字隐匿

一旦融入加密项目，这些自由职业黑客就利用包括AnyDesk在内的先进远程访问软件进行工作，同时保持与雇主的物理距离。VPN技术掩盖了他们的地理位置，制造出来自其他地区的合法远程工作的假象。

谷歌的工具套件成为他们操作的核心。泄露的数据揭示，他们通过Google Drive管理项目日程、任务分配和预算。Chrome配置文件导出显示，他们高度依赖谷歌的翻译服务，以在非英语地区操作时保持英语沟通。财务记录显示，仅在5月，他们的运营支出就达到了1,489.8美元。

从雇佣到利用：Favrr 680,000美元的入侵

调查发现，这一基础设施与具体的加密盗窃事件存在直接关联。钱包地址0x78e1a显示出与6月Favrr黑客事件中资金流动相符的模式。区块链证据连接到自称“Alex Hong”等开发者的个人——他们都是同一协调的朝鲜行动的一部分。此前，这个团队在2月曾针对加密货币交易所Bitbit发动攻击，策划了一起价值14亿美元的盗窃事件，震惊了整个行业。

顺便提及，他们的搜索历史还显示出对更广泛加密基础设施的情报收集——关于在Solana上部署ERC-20代币的查询，以及对欧洲AI开发公司的研究，表明他们的目标扩展到了初始事件之外。

更广泛的风险：为何加密公司仍然脆弱

安全研究人员强调，这些自由职业黑客利用了招聘流程中的根本弱点。尽管渗透方法相对简单，但加密货币公司在尽职调查方面持续失败。大量的职位申请造成招聘团队的决策疲劳，导致筛查不严。

加密公司与自由职业平台之间的碎片化也放大了这一问题。两个生态系统都没有建立强有力的跨平台验证系统，留下了被有心人利用的漏洞。美国财政部对涉及朝鲜IT工人网络的两个人和四个实体实施制裁，显示政府已意识到这一威胁，但私营部门采取的安全措施仍不一致。

教训很明确：彻底的背景核查、跨平台情报共享以及对地理位置不一致候选人资料的怀疑，都是应对国家支持的自由职业黑客针对加密行业的协调渗透行动的必要防御措施。