1/ Recently a team reached out to me for assistance after $1.3M was stolen from the treasury after malicious code had been pushed. Unbeknownst to the team they had hired multiple DPRK IT workers as devs who were using fake identities. I then uncovered 25+ crypto projects with… pic.twitter.com/W7SgY97Rd8
— ZachXBT (@zachxbt) August 15, 2024
鏈上偵探 ZachXBT 最新的推文指出,他發現了一個由 21 位北韓開發者組成的駭客犯罪網路,參與並盜取了數十個加密專案資金,據稱每月能賺取高達 50 萬美元的不法收入。
ZachXBT 曝光北韓駭客犯罪網路
Zach 首先表示,這個位於亞洲並可能來自北韓的實體,僱用了至少 21 名員工,利用假身份滲透超過 25 個加密專案,在時機成熟後竊取團隊資金並一走了之,預估每月得手 30 萬至 50 萬美元。
詐騙與洗錢過程
他透露,他在調查某個專案的被駭事件時,發現了巧妙而熟悉的資金軌跡,透過專用的盜竊地址、混幣器及兩間交易所進行複雜的洗錢。
然而,在追蹤了多個地址後,他發現了更大規模的洗錢網路:
這些開發者在過去一個月內收到了 37.5 萬美元,去年 7 月至今的流入資金總額高達 550 萬美元。
Zach 強調,這些資金最終流向了被美國外國資產控制辦公室 (OFAC) 制裁的兩個個人「Sim Hyon Sop」及「Sang Man Kim」,據稱曾被指控與北韓的網路犯罪及軍武計劃有所關聯。
開發者偽裝身份應聘職位
同時,Zach 也點明了他們的滲透手法,透過假身份證 KYC 或漂亮的工作經歷取得專案方信任,接著再捲款走人:
一些開發者聲稱來自美國或馬來西亞,但卻被發現對話位址與俄羅斯 IP 重疊。
並補充,「有不少經驗豐富的團隊雇用了這些來自北韓的開發者而不知情,他們都偽造了身份。」
ZachXBT 提醒:問題問越深越好
對此,Zach 字裡行間也提醒著團隊需就以下人員多加留意:
應聘者間似乎互相認識,甚至可能有互相推薦的情況
優秀的 GitHub 或履歷,但對先前的工作經歷並不會如實回應
同意進行 KYC,但提供假身份證件
對自稱所在國家的細節並不清楚,團隊可以仔細詢問確認
一開始表現良好,但後來逐漸表現不佳
一個人被辭退,立刻出現另一個帳號應聘
喜歡使用較為流行的 NFT 作為頭像
余弦:團隊慎防北韓開發者滲透
資安團隊慢霧創辦人余弦也引用了 ZachXBT 的推文,表示:
他們互相推薦入職,潛伏許久,技術能力不錯,你的公司運作地很好,養肥了之後便收網。
並補充,「這種事情不再新鮮,遺憾的是,總會有新花樣出現。」
北韓駭客犯罪猖獗
與北韓有關的網路犯罪層出不窮,其中同樣包含了惡名昭彰的駭客組織 Lazarus,過去曾策劃過多次網路攻擊及詐騙活動,包括釣魚攻擊、協議漏洞利用及人員滲透等。
鏈新聞此前曾盤點過 Lazarus 曾犯下的大型網路攻擊,受害者包括博弈平台 Stake.com 及交易所 CoinEx 等,劫走超過數億美元。
如今,今年涉及北韓駭客但仍未確定是否為 Lazarus 所為的駭客事件則有:
3 月:Blast 遊戲平台 Munchables 遭開發者自盜,損失約 6,250 萬美元
5 月:日本交易所 DMM Bitcoin 遭駭,損失約 3.05 億美元
7 月:印度交易所 WazirX 遭駭,損失約 2.35 億美元
(全是北韓駭客?Elliptic 分析 WazirX 是遭北韓駭客攻擊,日前 DMM 的三億美元也是?)
今年 2 月,聯合國也對此表達了嚴正態度,強調北韓駭客正透過大量的網路攻擊竊取資金,來資助該國的核彈計畫,過去 7 年內犯罪所得超過 30 億美元。
(聯合國報告:北韓以駭客盜取加密貨幣,籌資 30 億美元發展核武)
這篇文章 ZachXBT揭露北韓駭客犯罪網路,佯裝開發者滲透團隊再捲款:月收50萬美元 最早出現於 鏈新聞 ABMedia。