Como hackers freelancers da Coreia do Norte construíram uma rede de roubo de criptomoedas de $680.000

Uma investigação recente revelou uma operação alarmante: uma pequena unidade de operativos de TI norte-coreanos mantinha pelo menos 31 identidades fraudulentas para infiltrar plataformas de criptomoedas e realizar roubos em grande escala. O maior incidente documentado envolveu o roubo de $680.000 no mercado de tokens de fãs Favrr em junho de 2025.

A Estratégia de Infiltração: Construção de Perfis Credíveis de Freelance

Informações obtidas de um dispositivo comprometido revelam como esses hackers freelance norte-coreanos se estabeleceram na indústria de criptomoedas. O grupo criou identidades de cobertura elaboradas, reunindo documentação completa incluindo IDs governamentais falsificados e números de telefone. Para parecer legítimos em plataformas de contratação, adquiriram contas estabelecidas no LinkedIn e Upwork, efetivamente emprestando a credibilidade de usuários anteriores.

Posições de engenheiro de blockchain e desenvolvimento de contratos inteligentes tornaram-se seus principais alvos. Evidências sugerem que um indivíduo candidatou-se a uma vaga de engenheiro full-stack na Polygon Labs, enquanto transcrições de entrevistas mostram alegações de emprego anterior em entidades de criptomoedas notáveis como OpenSea e Chainlink. Essas credenciais fabricadas colocaram-nos com sucesso dentro de organizações de criptomoedas desavisadas.

Infraestrutura Operacional: Acesso Remoto e Disfarce Digital

Uma vez inseridos em projetos de criptomoedas, os hackers freelance utilizavam softwares sofisticados de acesso remoto, incluindo AnyDesk, para realizar o trabalho enquanto mantinham distância física dos empregadores. A tecnologia VPN mascarava sua localização geográfica, criando a ilusão de trabalhadores remotos legítimos de outras regiões.

O conjunto de ferramentas do Google tornou-se central para suas operações. Dados vazados revelam que gerenciavam cronogramas de projetos, tarefas e orçamentos através do Google Drive. Exportações de perfis do Chrome mostram forte dependência dos serviços de tradução do Google para manter comunicação em inglês enquanto operavam de uma região de língua não inglesa. Registros financeiros documentam $1.489,8 em despesas operacionais apenas em maio.

De Emprego à Exploração: A Violação de $680.000 no Favrr

A investigação identificou conexões diretas entre essa infraestrutura e roubos específicos de criptomoedas. O endereço de carteira 0x78e1a mostrou padrões consistentes com fluxos de fundos provenientes do hack do Favrr em junho. As evidências na blockchain conectam-se a indivíduos que se apresentam como “Alex Hong” e outros desenvolvedores — todos parte da mesma operação coordenada norte-coreana. Essa equipe já havia atacado a exchange de criptomoedas Bitbit em fevereiro, orquestrando um roubo de $1,4 bilhão que chocou a indústria.

Curiosamente, o histórico de buscas deles revelou coleta de informações sobre infraestrutura mais ampla de criptomoedas — consultas sobre implantação de tokens ERC-20 na Solana e pesquisas sobre empresas europeias de desenvolvimento de IA sugerem interesses de ataque ampliados além dos incidentes iniciais.

O Risco Mais Amplo: Por que as Empresas de Criptomoedas Permanecem Vulneráveis

Pesquisadores de segurança enfatizam que esses hackers freelance exploraram uma fraqueza fundamental nos processos de contratação. Apesar da relativa simplicidade da metodologia de infiltração, as empresas de criptomoedas frequentemente falham em implementar uma devida diligência adequada. O volume elevado de candidaturas a posições de desenvolvimento cria fadiga de decisão nas equipes de contratação, levando a uma avaliação comprometida.

A fragmentação entre empresas de criptomoedas e plataformas de freelance amplifica o problema. Nenhum dos ecossistemas mantém sistemas robustos de verificação cruzada, deixando lacunas que atores determinados podem explorar. Sanções do Tesouro dos EUA contra duas pessoas e quatro entidades envolvidas em redes de operários de TI norte-coreanos demonstram a conscientização governamental sobre a ameaça, mas a adoção de medidas de segurança correspondentes pelo setor privado permanece inconsistente.

A lição é clara: verificação minuciosa de antecedentes, compartilhamento de inteligência entre plataformas e ceticismo em relação a perfis de candidatos com inconsistências geográficas representam defesas necessárias contra tentativas coordenadas de infiltração por hackers freelance patrocinados pelo Estado, direcionados ao setor de criptomoedas.