朝鲜IT黑客渗透加密项目内幕曝光！ZachXBT揭露：5人团队伪造30+身份，68万美元漏洞或系其所为

知名链上侦探ZachXBT发布重磅调查报告，揭露朝鲜民主主义人民共和国(DPRK)IT人员通过系统性身份欺诈深度渗透加密货币行业。一个5人黑客团队利用伪造证件购买Upwork/LinkedIn高级账户，以虚假身份应聘开发岗位，获取项目敏感权限。匿名信源成功入侵其设备，曝光其运作细节及关联钱包，该地址竟与2025年6月Favrr协议680,000美元漏洞攻击直接相关。报告揭示其庞大“虚拟身份工厂”运作模式及资金链路，为加密项目安全敲响警钟。

【深度渗透：伪造身份工厂运作全曝光】

• 虚假身份网络： 该朝鲜团队创建了超过30个虚假身份（如“Henry Zhang”），使用伪造的政府ID购买专业求职平台认证账户（Upwork、LinkedIn），成功打入多个加密货币项目开发团队。
• 工具链完备： 泄露的财务报表显示，其系统性采购作案工具：美国社保号(SSN)、高信誉度求职账号、电话号码、AI订阅服务、云电脑租赁、高级VPN/代理网络（用于伪装地理位置）。
• 操作细节披露： 匿名信源入侵其设备获取Google Drive、Chrome配置文件等关键数据。团队使用AnyDesk远程控制配合VPN，精确模拟所在地理位置；内部Telegram群聊讨论岗位安置、薪资支付（使用ERC-20钱包收款）。
• 目标明确： 文档包含针对特定加密项目的会议时间表及维护虚假身份的详细脚本，旨在获取项目代码库(GitHub)及内部系统权限。

【关键证据：链上地址直指680,000美元攻击】

• 钱包关联： ZachXBT追踪团队常用ERC-20钱包地址（0x78e1...），发现其直接关联到2025年6月Favrr协议遭受的680,000美元漏洞攻击。
• 身份坐实： 该次攻击被归因于项目CTO及部分开发人员——现证实这些“技术骨干”实为使用虚假身份的朝鲜IT人员。
• 行业震动： 此发现促使多家加密货币项目紧急自查，部分项目确认其开发团队或决策层中混入了朝鲜操作人员。

【来源确证：数字足迹锁定朝鲜背景】 尽管社区对人员来源存疑，ZachXBT提供了铁证：

1. 语言痕迹： 浏览器历史显示大量韩语到英语的谷歌翻译记录。
2. 物理位置： 所有活动均通过俄罗斯IP地址进行，符合朝鲜IT人员海外操作的典型模式。
3. 欺诈文档： 大量伪造的政府ID及专业认证文件。

【行业反应：安全漏洞与防御挑战】

• 招聘漏洞凸显： 社区批评部分项目存在招聘背调(Background Check)缺失，且在收到安全警示时表现防御性。加密招聘机构Plexus创始人Shaun Potts指出：“这是行业固有的运营风险，如同黑客攻击无法根除，但风险可被降低。”
• 安全威胁升级： 事件暴露了加密货币项目在代码访问权限管理上的巨大隐患，众多团队可能不知晓谁真正接触了其核心代码库。
• 识别成功率参差： 部分平台（如交易所Kraken在2025年5月）成功识别并拦截朝鲜伪装求职者，但更多项目成为此类APT（高级持续性威胁）攻击的受害者。

【关联案件：朝鲜黑客的“远程工作”骗局】

• 求职诈骗： 2025年1月，类似手法被用于针对纽约居民的短信诈骗，以“远程工作协助”为饵，诱骗受害者存入USDT/USDC，窃取价值220万美元加密货币。
• 资金收缴： 2025年6月，美国当局查获超770万美元加密货币，指控其为朝鲜IT人员伪装自由职业者所得，收入最终流入朝鲜政府。

【结语：虚拟身份战争下的加密安全警钟】 ZachXBT的调查报告撕开了朝鲜国家级黑客组织渗透加密货币行业的一道裂口。其构建的精密“虚拟身份工厂”和成熟的求职欺诈链条，已非个体行为，而是系统性的供应链攻击(Supply Chain Attack)。关联钱包直指重大漏洞攻击事件，证明其目标不仅是窃取工资，更是伺机发动更大规模的黑客行动。此事件为所有加密货币项目敲响最高级别安全警钟：

1. 强化身份核验： 必须实施严格的多重身份验证和背景调查，尤其针对远程技术岗位。
2. 权限最小化： 严格控制对代码库和关键系统的访问权限，定期审计。
3. 威胁意识提升： 行业需共享威胁情报，提高对地缘政治背景黑客组织的识别能力。
4. 监管协作： 应对此类国家级威胁，需加强国际执法协作，切断资金链。

当代码即财富，谁在编写你的代码？这已成为决定加密项目生死存亡的核心问题。