Các cuộc điều tra của thám tử blockchain nổi tiếng ZachXBT đã phát hiện ra sự xâm nhập rộng rãi của Bắc Triều Tiên vào thị trường việc làm phát triển tiền điện tử toàn cầu.
Một nguồn tin không xác định gần đây đã xâm nhập vào một thiết bị thuộc về một nhân viên CNTT của DPRK và cung cấp cái nhìn chưa từng có về cách một nhóm nhỏ gồm năm nhân viên CNTT hoạt động với hơn 30 danh tính giả.
Các tác nhân DPRK tràn ngập thị trường việc làm tiền điện tử
Theo các tweet của ZachXBT, nhóm DPRK được cho là đã sử dụng ID do chính phủ cấp để đăng ký tài khoản trên Upwork và LinkedIn, nhằm có được vai trò phát triển trên nhiều dự án. Các nhà điều tra đã phát hiện một bản xuất của Google Drive, hồ sơ Chrome và ảnh chụp màn hình của những người lao động, cho thấy rằng các sản phẩm của Google đóng vai trò trung tâm trong việc tổ chức lịch trình, nhiệm vụ và ngân sách, với các cuộc giao tiếp chủ yếu được thực hiện bằng tiếng Anh.
Trong số các tài liệu có một bảng tính năm 2025 chứa các báo cáo hàng tuần từ các thành viên trong nhóm, điều này làm sáng tỏ những hoạt động và tư duy nội bộ của họ. Các mục điển hình bao gồm những tuyên bố như "Tôi không thể hiểu yêu cầu công việc, và không biết mình cần làm gì", với những ghi chú tự định hướng như "Giải pháp / sửa chữa: Đặt đủ nỗ lực vào trái tim."
Một bảng tính khác theo dõi chi phí, cho thấy việc mua sắm các số An sinh xã hội, tài khoản Upwork và LinkedIn, số điện thoại, đăng ký AI, cho thuê máy tính, và dịch vụ VPN hoặc proxy. Các lịch họp và kịch bản cho những danh tính giả, bao gồm một người mang tên "Henry Zhang," cũng đã được phục hồi.
Phương pháp hoạt động của nhóm này được báo cáo là liên quan đến việc mua hoặc thuê máy tính, sử dụng AnyDesk để thực hiện công việc từ xa, và chuyển đổi tiền tệ kiếm được thành tiền điện tử thông qua Payoneer. Một địa chỉ ví, 0x78e1, liên quan đến nhóm này được liên kết trên chuỗi với một vụ khai thác trị giá 680.000 USD tại Favrr vào tháng 6 năm 2025, nơi mà CTO của dự án và các nhà phát triển khác sau đó đã được xác định là những công nhân CNTT của DPRK sử dụng tài liệu giả mạo. Các công nhân liên kết với DPRK khác đã được kết nối với các dự án thông qua địa chỉ 0x78e1.
Các chỉ báo về nguồn gốc Triều Tiên của họ bao gồm việc thường xuyên sử dụng Google Translate cho các tìm kiếm bằng tiếng Hàn được thực hiện từ các địa chỉ IP của Nga. ZachXBT cho biết rằng những công nhân CNTT này không đặc biệt tinh vi, nhưng sự kiên trì của họ được củng cố bởi số lượng vai trò mà họ nhắm đến trên toàn cầu.
Các thách thức trong việc chống lại những hoạt động này bao gồm sự hợp tác kém giữa các công ty và dịch vụ tư nhân, cũng như sự kháng cự từ các đội khi hoạt động gian lận được báo cáo.
Mối đe dọa liên tục của Triều Tiên
Tin tặc Bắc Triều Tiên, đặc biệt là Nhóm Lazarus, tiếp tục là một mối đe dọa đáng kể đối với ngành công nghiệp. Vào tháng 2 năm 2025, nhóm này đã tổ chức vụ hack sàn giao dịch tiền điện tử lớn nhất trong lịch sử, khi họ đánh cắp khoảng 1,5 tỷ đô la Ethereum từ Bybit có trụ sở tại Dubai.
Cuộc tấn công đã khai thác các lỗ hổng trong một nhà cung cấp ví bên thứ ba, Safe{Wallet}, cho phép hacker vượt qua các biện pháp bảo mật đa chữ ký và rút tiền vào nhiều ví khác nhau. FBI đã gán cho vụ vi phạm này là do các đặc vụ Triều Tiên thực hiện, gọi nó là "TraderTraitor".
Sau đó, vào tháng 7 năm 2025, CoinDCX, một sàn giao dịch tiền điện tử Ấn Độ, đã trở thành nạn nhân của một vụ trộm 44 triệu USD, cũng có liên quan đến Nhóm Lazarus. Những kẻ tấn công đã xâm nhập vào cơ sở hạ tầng thanh khoản của CoinDCX, khai thác các thông tin đăng nhập nội bộ bị lộ để thực hiện vụ trộm.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
2 thích
Phần thưởng
2
2
Đăng lại
Chia sẻ
Bình luận
0/400
Fllii
· 12giờ trước
Cô ấy không chỉ là một cô gái, cô ấy là phi tập trung.
Google Docs, Upwork, và LinkedIn: Bên trong các hoạt động Crypto bí mật của công nhân CNTT Bắc Triều Tiên
Các cuộc điều tra của thám tử blockchain nổi tiếng ZachXBT đã phát hiện ra sự xâm nhập rộng rãi của Bắc Triều Tiên vào thị trường việc làm phát triển tiền điện tử toàn cầu.
Một nguồn tin không xác định gần đây đã xâm nhập vào một thiết bị thuộc về một nhân viên CNTT của DPRK và cung cấp cái nhìn chưa từng có về cách một nhóm nhỏ gồm năm nhân viên CNTT hoạt động với hơn 30 danh tính giả.
Các tác nhân DPRK tràn ngập thị trường việc làm tiền điện tử
Theo các tweet của ZachXBT, nhóm DPRK được cho là đã sử dụng ID do chính phủ cấp để đăng ký tài khoản trên Upwork và LinkedIn, nhằm có được vai trò phát triển trên nhiều dự án. Các nhà điều tra đã phát hiện một bản xuất của Google Drive, hồ sơ Chrome và ảnh chụp màn hình của những người lao động, cho thấy rằng các sản phẩm của Google đóng vai trò trung tâm trong việc tổ chức lịch trình, nhiệm vụ và ngân sách, với các cuộc giao tiếp chủ yếu được thực hiện bằng tiếng Anh.
Trong số các tài liệu có một bảng tính năm 2025 chứa các báo cáo hàng tuần từ các thành viên trong nhóm, điều này làm sáng tỏ những hoạt động và tư duy nội bộ của họ. Các mục điển hình bao gồm những tuyên bố như "Tôi không thể hiểu yêu cầu công việc, và không biết mình cần làm gì", với những ghi chú tự định hướng như "Giải pháp / sửa chữa: Đặt đủ nỗ lực vào trái tim."
Một bảng tính khác theo dõi chi phí, cho thấy việc mua sắm các số An sinh xã hội, tài khoản Upwork và LinkedIn, số điện thoại, đăng ký AI, cho thuê máy tính, và dịch vụ VPN hoặc proxy. Các lịch họp và kịch bản cho những danh tính giả, bao gồm một người mang tên "Henry Zhang," cũng đã được phục hồi.
Phương pháp hoạt động của nhóm này được báo cáo là liên quan đến việc mua hoặc thuê máy tính, sử dụng AnyDesk để thực hiện công việc từ xa, và chuyển đổi tiền tệ kiếm được thành tiền điện tử thông qua Payoneer. Một địa chỉ ví, 0x78e1, liên quan đến nhóm này được liên kết trên chuỗi với một vụ khai thác trị giá 680.000 USD tại Favrr vào tháng 6 năm 2025, nơi mà CTO của dự án và các nhà phát triển khác sau đó đã được xác định là những công nhân CNTT của DPRK sử dụng tài liệu giả mạo. Các công nhân liên kết với DPRK khác đã được kết nối với các dự án thông qua địa chỉ 0x78e1.
Các chỉ báo về nguồn gốc Triều Tiên của họ bao gồm việc thường xuyên sử dụng Google Translate cho các tìm kiếm bằng tiếng Hàn được thực hiện từ các địa chỉ IP của Nga. ZachXBT cho biết rằng những công nhân CNTT này không đặc biệt tinh vi, nhưng sự kiên trì của họ được củng cố bởi số lượng vai trò mà họ nhắm đến trên toàn cầu.
Các thách thức trong việc chống lại những hoạt động này bao gồm sự hợp tác kém giữa các công ty và dịch vụ tư nhân, cũng như sự kháng cự từ các đội khi hoạt động gian lận được báo cáo.
Mối đe dọa liên tục của Triều Tiên
Tin tặc Bắc Triều Tiên, đặc biệt là Nhóm Lazarus, tiếp tục là một mối đe dọa đáng kể đối với ngành công nghiệp. Vào tháng 2 năm 2025, nhóm này đã tổ chức vụ hack sàn giao dịch tiền điện tử lớn nhất trong lịch sử, khi họ đánh cắp khoảng 1,5 tỷ đô la Ethereum từ Bybit có trụ sở tại Dubai.
Cuộc tấn công đã khai thác các lỗ hổng trong một nhà cung cấp ví bên thứ ba, Safe{Wallet}, cho phép hacker vượt qua các biện pháp bảo mật đa chữ ký và rút tiền vào nhiều ví khác nhau. FBI đã gán cho vụ vi phạm này là do các đặc vụ Triều Tiên thực hiện, gọi nó là "TraderTraitor".
Sau đó, vào tháng 7 năm 2025, CoinDCX, một sàn giao dịch tiền điện tử Ấn Độ, đã trở thành nạn nhân của một vụ trộm 44 triệu USD, cũng có liên quan đến Nhóm Lazarus. Những kẻ tấn công đã xâm nhập vào cơ sở hạ tầng thanh khoản của CoinDCX, khai thác các thông tin đăng nhập nội bộ bị lộ để thực hiện vụ trộm.