北韓自由職業黑客如何建立一個價值68萬美元的加密貨幣盜竊網絡

近期調查揭露了一個令人震驚的操作：一個由北韓IT人員組成的小型單位，維持至少31個欺詐身份，以滲透加密貨幣平台並進行大規模盜竊。已記錄的最大事件是在2025年6月從粉絲代幣市場Favrr盜取68萬美元。

滲透策略：建立可信的自由職業者檔案

從被入侵設備收集的情報顯示，這些北韓自由駭客如何在加密貨幣產業中建立自己的位置。該團隊創建了精心設計的掩護身份，並組裝了完整的文件，包括偽造的政府ID和電話號碼。為了在招聘平台上看起來合法，他們購買了已建立的LinkedIn和Upwork帳戶，實質上借用了前任用戶的可信度。

區塊鏈工程師職位和智能合約開發角色成為他們的主要目標。有證據顯示，一名個人申請了Polygon Labs的全端工程師職位，而面試記錄則顯示他聲稱曾在OpenSea和Chainlink等知名加密貨幣公司工作過。這些偽造的資歷成功讓他們進入了毫無戒心的加密貨幣組織。

運營基礎設施：遠端存取與數位隱藏

一旦滲透到加密項目中，這些自由駭客便利用包括AnyDesk在內的高級遠端存取軟體進行工作，同時保持與雇主的物理距離。VPN技術掩蓋了他們的地理位置，營造出來的假象是來自其他地區的合法遠端工作者。

Google的工具套件成為他們運作的核心。泄露的數據顯示，他們通過Google Drive管理專案排程、任務分配和預算。Chrome配置檔匯出顯示，他們高度依賴Google的翻譯服務，以在非英語區域操作時維持英語溝通。財務記錄顯示，僅在5月的運營費用就達到1,489.8美元。

從就業到掠奪：Favrr 68萬美元資料外洩

調查發現，這個基礎設施與特定加密貨幣盜竊之間存在直接聯繫。錢包地址0x78e1a顯示出與6月Favrr駭客事件中資金流動相符的模式。區塊鏈證據連結到自稱“Alex Hong”等開發者的個人——這些都是同一個協調的北韓行動的一部分。該團隊曾在2月針對加密貨幣交易所Bitbit進行攻擊，策劃了一起價值14億美元的盜竊事件，震驚了整個行業。

巧合的是，他們的搜尋歷史揭示了對更廣泛加密基礎設施的情報收集——包括在Solana部署ERC-20代幣的查詢，以及對歐洲AI開發公司的研究，顯示他們的目標範圍已超出最初的事件。

更廣泛的風險：為何加密公司仍然脆弱

安全研究人員強調，這些自由駭客利用了招聘流程中的根本弱點。儘管滲透方法相對簡單，加密貨幣公司卻經常未能實施充分的盡職調查。大量的應徵申請使招聘團隊陷入決策疲勞，導致審核不嚴。

加密貨幣公司與自由職業平台之間的碎片化進一步放大了問題。兩者都缺乏強大的跨平台驗證系統，留下了被有心人士利用的漏洞。美國財政部對兩名個人和四個涉及北韓IT人員網絡的實體實施制裁，顯示政府已意識到這一威脅，但私營部門採取的安全措施仍不一致。

教訓很明確：徹底的背景調查、跨平台情報共享，以及對地理位置不一致的候選人資料保持懷疑，是對抗國家支持的自由駭客針對加密貨幣行業協調滲透的必要防禦措施。