1/ Recently a team reached out to me for assistance after $1.3M was stolen from the treasury after malicious code had been pushed. Unbeknownst to the team they had hired multiple DPRK IT workers as devs who were using fake identities. I then uncovered 25+ crypto projects with… pic.twitter.com/W7SgY97Rd8

— ZachXBT (@zachxbt) August 15, 2024

鏈上偵探 ZachXBT 最新的推文指出,他發現了一個由 21 位北韓開發者組成的駭客犯罪網路,參與並盜取了數十個加密專案資金,據稱每月能賺取高達 50 萬美元的不法收入。

ZachXBT 曝光北韓駭客犯罪網路

Zach 首先表示,這個位於亞洲並可能來自北韓的實體,僱用了至少 21 名員工,利用假身份滲透超過 25 個加密專案,在時機成熟後竊取團隊資金並一走了之,預估每月得手 30 萬至 50 萬美元。

詐騙與洗錢過程

他透露,他在調查某個專案的被駭事件時,發現了巧妙而熟悉的資金軌跡,透過專用的盜竊地址、混幣器及兩間交易所進行複雜的洗錢。

然而,在追蹤了多個地址後,他發現了更大規模的洗錢網路:

這些開發者在過去一個月內收到了 37.5 萬美元,去年 7 月至今的流入資金總額高達 550 萬美元。

Zach 強調,這些資金最終流向了被美國外國資產控制辦公室 (OFAC) 制裁的兩個個人「Sim Hyon Sop」及「Sang Man Kim」,據稱曾被指控與北韓的網路犯罪及軍武計劃有所關聯。

開發者偽裝身份應聘職位

同時,Zach 也點明了他們的滲透手法,透過假身份證 KYC 或漂亮的工作經歷取得專案方信任,接著再捲款走人:

一些開發者聲稱來自美國或馬來西亞,但卻被發現對話位址與俄羅斯 IP 重疊。

並補充,「有不少經驗豐富的團隊雇用了這些來自北韓的開發者而不知情,他們都偽造了身份。」

ZachXBT 提醒:問題問越深越好

對此,Zach 字裡行間也提醒著團隊需就以下人員多加留意:

  1. 應聘者間似乎互相認識,甚至可能有互相推薦的情況

  2. 優秀的 GitHub 或履歷,但對先前的工作經歷並不會如實回應

  3. 同意進行 KYC,但提供假身份證件

  4. 對自稱所在國家的細節並不清楚,團隊可以仔細詢問確認

  5. 一開始表現良好,但後來逐漸表現不佳

  6. 一個人被辭退,立刻出現另一個帳號應聘

  7. 喜歡使用較為流行的 NFT 作為頭像

余弦:團隊慎防北韓開發者滲透

資安團隊慢霧創辦人余弦也引用了 ZachXBT 的推文,表示:

他們互相推薦入職,潛伏許久,技術能力不錯,你的公司運作地很好,養肥了之後便收網。

並補充,「這種事情不再新鮮,遺憾的是,總會有新花樣出現。」

北韓駭客犯罪猖獗

與北韓有關的網路犯罪層出不窮,其中同樣包含了惡名昭彰的駭客組織 Lazarus,過去曾策劃過多次網路攻擊及詐騙活動,包括釣魚攻擊、協議漏洞利用及人員滲透等。

鏈新聞此前曾盤點過 Lazarus 曾犯下的大型網路攻擊,受害者包括博弈平台 Stake.com 及交易所 CoinEx 等,劫走超過數億美元。

如今,今年涉及北韓駭客但仍未確定是否為 Lazarus 所為的駭客事件則有:

  • 3 月:Blast 遊戲平台 Munchables 遭開發者自盜,損失約 6,250 萬美元

  • 5 月:日本交易所 DMM Bitcoin 遭駭,損失約 3.05 億美元

  • 7 月:印度交易所 WazirX 遭駭,損失約 2.35 億美元

(全是北韓駭客?Elliptic 分析 WazirX 是遭北韓駭客攻擊,日前 DMM 的三億美元也是?)

今年 2 月,聯合國也對此表達了嚴正態度,強調北韓駭客正透過大量的網路攻擊竊取資金,來資助該國的核彈計畫,過去 7 年內犯罪所得超過 30 億美元。

(聯合國報告:北韓以駭客盜取加密貨幣,籌資 30 億美元發展核武)

這篇文章 ZachXBT揭露北韓駭客犯罪網路,佯裝開發者滲透團隊再捲款:月收50萬美元 最早出現於 鏈新聞 ABMedia。