Cách các hacker tự do từ Triều Tiên xây dựng mạng lưới trộm cắp tiền điện tử trị giá $680,000

Một cuộc điều tra gần đây đã phơi bày một hoạt động đáng báo động: một nhóm nhỏ các nhân viên IT Triều Tiên duy trì ít nhất 31 danh tính giả mạo để xâm nhập các nền tảng tiền điện tử và thực hiện trộm cắp quy mô lớn. Sự cố lớn nhất được ghi nhận liên quan đến việc trộm 680.000 đô la từ thị trường token fan Favrr vào tháng 6 năm 2025.

Chiến lược xâm nhập: Xây dựng hồ sơ tự do uy tín

Thông tin thu thập từ một thiết bị bị xâm phạm tiết lộ cách các hacker tự do Triều Tiên này thiết lập vị trí của mình trong ngành công nghiệp crypto. Nhóm tạo ra các danh tính che đậy tinh vi, tập hợp tài liệu đầy đủ bao gồm giấy tờ tùy thân giả mạo của chính phủ và số điện thoại. Để trông hợp pháp trên các nền tảng tuyển dụng, họ đã mua các tài khoản LinkedIn và Upwork đã được thiết lập, hiệu quả mượn uy tín của người dùng trước đó.

Các vị trí kỹ sư blockchain và phát triển hợp đồng thông minh trở thành mục tiêu chính của họ. Bằng chứng cho thấy một cá nhân đã nộp đơn xin vị trí kỹ sư full-stack tại Polygon Labs, trong khi các bản ghi phỏng vấn cho thấy họ từng làm việc tại các tổ chức crypto nổi bật như OpenSea và Chainlink. Những chứng chỉ giả mạo này đã thành công trong việc đưa họ vào các tổ chức tiền điện tử không cảnh giác.

Hạ tầng hoạt động: Truy cập từ xa và che giấu kỹ thuật số

Sau khi xâm nhập vào các dự án crypto, các hacker tự do đã sử dụng phần mềm truy cập từ xa tinh vi như AnyDesk để thực hiện công việc trong khi duy trì khoảng cách vật lý với nhà tuyển dụng. Công nghệ VPN che giấu vị trí địa lý của họ, tạo ảo giác về các nhân viên từ xa hợp pháp đến từ các khu vực khác.

Bộ công cụ của Google trở thành trung tâm trong hoạt động của họ. Dữ liệu rò rỉ tiết lộ họ quản lý lịch trình dự án, phân công nhiệm vụ và ngân sách qua Google Drive. Xuất hồ sơ Chrome cho thấy họ dựa nhiều vào dịch vụ dịch thuật của Google để duy trì giao tiếp bằng tiếng Anh trong khi hoạt động từ một khu vực không nói tiếng Anh. Các hồ sơ tài chính ghi nhận 1.489,8 đô la chi phí hoạt động chỉ trong tháng 5.

Từ tuyển dụng đến khai thác: Sự vi phạm Favrr 680.000 đô la

Cuộc điều tra đã xác định các mối liên hệ trực tiếp giữa hạ tầng này và các vụ trộm cắp crypto cụ thể. Địa chỉ ví 0x78e1a cho thấy các mẫu giao dịch phù hợp với dòng tiền từ vụ hack Favrr tháng 6. Bằng chứng trên blockchain liên kết các cá nhân tự xưng là “Alex Hong” và các nhà phát triển khác—tất cả đều là một phần của hoạt động phối hợp của Triều Tiên. Nhóm này đã từng nhắm vào sàn giao dịch Bitbit vào tháng 2, tổ chức vụ trộm 1,4 tỷ đô la khiến ngành công nghiệp chấn động.

Tình cờ, lịch sử tìm kiếm của họ tiết lộ việc thu thập thông tin về hạ tầng crypto rộng hơn—các truy vấn về triển khai token ERC-20 trên Solana và nghiên cứu các công ty phát triển AI châu Âu cho thấy họ mở rộng mục tiêu ngoài các vụ việc ban đầu.

Rủi ro rộng hơn: Tại sao các công ty crypto vẫn dễ bị tổn thương

Các nhà nghiên cứu an ninh nhấn mạnh rằng các hacker tự do này đã khai thác điểm yếu cơ bản trong quy trình tuyển dụng. Mặc dù phương pháp xâm nhập khá đơn giản, các công ty tiền điện tử thường xuyên không thực hiện đủ thẩm định kỹ lưỡng. Khối lượng lớn các đơn ứng tuyển vào các vị trí phát triển tạo ra sự mệt mỏi quyết định trong nhóm tuyển dụng, dẫn đến việc kiểm tra không kỹ lưỡng.

Sự phân mảnh giữa các công ty crypto và các nền tảng tự do làm tăng vấn đề. Không hệ sinh thái nào duy trì hệ thống xác thực chéo toàn diện, để lại những lỗ hổng mà các tác nhân quyết đoán có thể khai thác. Các lệnh trừng phạt của Bộ Tài chính Mỹ đối với hai cá nhân và bốn tổ chức liên quan đến mạng lưới nhân viên IT Triều Tiên cho thấy chính phủ nhận thức rõ mối đe dọa, tuy nhiên việc áp dụng các biện pháp an ninh tương ứng trong khu vực tư nhân vẫn còn chưa nhất quán.

Bài học rõ ràng: xác minh lý lịch kỹ lưỡng, chia sẻ thông tin tình báo chéo nền tảng và hoài nghi về các hồ sơ ứng viên có địa lý không nhất quán là các biện pháp phòng thủ cần thiết chống lại các cuộc xâm nhập phối hợp của các hacker tự do do nhà nước tài trợ nhắm vào lĩnh vực tiền điện tử.