朝鮮IT黑客滲透加密項目內幕曝光！ZachXBT揭露：5人團隊僞造30+身分，68萬美元漏洞或系其所爲

知名鏈上偵探ZachXBT發布重磅調查報告，揭露朝鮮民主主義人民共和國(DPRK)IT人員通過系統性身分欺詐深度滲透加密貨幣行業。一個5人黑客團隊利用僞造證件購買Upwork/LinkedIn高級帳戶，以虛假身分應聘開發崗位，獲取項目敏感權限。匿名信源成功入侵其設備，曝光其運作細節及關聯錢包，該地址竟與2025年6月Favrr協議680,000美元漏洞攻擊直接相關。報告揭示其龐大“虛擬身分工廠”運作模式及資金鏈路，爲加密項目安全敲響警鍾。

【深度滲透：僞造身分工廠運作全曝光】

• 虛假身分網路： 該朝鮮團隊創建了超過30個虛假身分（如“Henry Zhang”），使用僞造的政府ID購買專業求職平台認證帳戶（Upwork、LinkedIn），成功打入多個加密貨幣項目開發團隊。
• 工具鏈完備： 泄露的財務報表顯示，其系統性採購作案工具：美國社保號(SSN)、高信譽度求職帳號、電話號碼、AI訂閱服務、雲電腦租賃、高級VPN/代理網路（用於僞裝地理位置）。
• 操作細節披露： 匿名信源入侵其設備獲取Google Drive、Chrome配置文件等關鍵數據。團隊使用AnyDesk遠程控制配合VPN，精確模擬所在地理位置；內部Telegram羣聊討論崗位安置、薪資支付（使用ERC-20錢包收款）。
• 目標明確： 文檔包含針對特定加密項目的會議時間表及維護虛假身分的詳細腳本，旨在獲取項目代碼庫(GitHub)及內部系統權限。

【關鍵證據：鏈上地址直指680,000美元攻擊】

• 錢包關聯： ZachXBT追蹤團隊常用ERC-20錢包地址（0x78e1...），發現其直接關聯到2025年6月Favrr協議遭受的680,000美元漏洞攻擊。
• 身分坐實： 該次攻擊被歸因於項目CTO及部分開發人員——現證實這些“技術骨幹”實爲使用虛假身分的朝鮮IT人員。
• 行業震動： 此發現促使多家加密貨幣項目緊急自查，部分項目確認其開發團隊或決策層中混入了朝鮮操作人員。

【來源確證：數字足跡鎖定朝鮮背景】 盡管社區對人員來源存疑，ZachXBT提供了鐵證：

1. 語言痕跡： 瀏覽器歷史顯示大量韓語到英語的谷歌翻譯記錄。
2. 物理位置： 所有活動均通過俄羅斯IP地址進行，符合朝鮮IT人員海外操作的典型模式。
3. 欺詐文檔： 大量僞造的政府ID及專業認證文件。

【行業反應：安全漏洞與防御挑戰】

• 招聘漏洞凸顯： 社區批評部分項目存在招聘背調(Background Check)缺失，且在收到安全警示時表現防御性。加密招聘機構Plexus創始人Shaun Potts指出：“這是行業固有的運營風險，如同黑客攻擊無法根除，但風險可被降低。”
• 安全威脅升級： 事件暴露了加密貨幣項目在代碼訪問權限管理上的巨大隱患，衆多團隊可能不知曉誰真正接觸了其核心代碼庫。
• 識別成功率參差： 部分平台（如交易所Kraken在2025年5月）成功識別並攔截朝鮮僞裝求職者，但更多項目成爲此類APT（高級持續性威脅）攻擊的受害者。

【關聯案件：朝鮮黑客的“遠程工作”騙局】

• 求職詐騙： 2025年1月，類似手法被用於針對紐約居民的短信詐騙，以“遠程工作協助”爲餌，誘騙受害者存入USDT/USDC，竊取價值220萬美元加密貨幣。
• 資金收繳： 2025年6月，美國當局查獲超770萬美元加密貨幣，指控其爲朝鮮IT人員僞裝自由職業者所得，收入最終流入朝鮮政府。

【結語：虛擬身分戰爭下的加密安全警鍾】 ZachXBT的調查報告撕開了朝鮮國家級黑客組織滲透加密貨幣行業的一道裂口。其構建的精密“虛擬身分工廠”和成熟的求職欺詐鏈條，已非個體行爲，而是系統性的供應鏈攻擊(Supply Chain Attack)。關聯錢包直指重大漏洞攻擊事件，證明其目標不僅是竊取工資，更是伺機發動更大規模的黑客行動。此事件爲所有加密貨幣項目敲響最高級別安全警鍾：

1. 強化身分核驗： 必須實施嚴格的多重身分驗證和背景調查，尤其針對遠程技術崗位。
2. 權限最小化： 嚴格控制對代碼庫和關鍵系統的訪問權限，定期審計。
3. 威脅意識提升： 行業需共享威脅情報，提高對地緣政治背景黑客組織的識別能力。
4. 監管協作： 應對此類國家級威脅，需加強國際執法協作，切斷資金鏈。

當代碼即財富，誰在編寫你的代碼？這已成爲決定加密項目生死存亡的核心問題。