ZachXBT全文：反駭北韓駭客設備後，我明白了他們的「工作」模式

知名鏈上偵探 ZachXBT 引用白帽駭客的調查，揭露一個北韓五人駭客團隊如何操縱假身份滲透開發專案。本文深入分析其工作模式、支出明細及資金流向，提供防範此類威脅的關鍵見解。本文源自ZachXBT所著文章，由Azuma，Odaily 星球日報整理、編譯及撰稿。 （前情提要：微軟聯手FBI打擊北韓駭客詐騙！凍結3,000個帳號，抓出美國「打工仔共犯」 ） （背景補充：幣託BitoPro遭駭調查是北韓拉撒路Lazarus！社交工程攻擊竊走1150萬美元 ） 北韓駭客一直是加密貨幣市場的一大威脅。往年，受害者及業內安全工作者只能透過每期相關的安全事件逆向去推測北韓駭客的行為模式，而昨日，知名鏈上偵探 ZachXBT 在最新推文中引用了某位白帽駭客反駭北韓駭客的調查分析，首次以主動視角揭露了北韓駭客的「工作」方法，或對業界專案進行事前安全布防有著一定的積極意義。 以下為 ZachXBT 全文內容，由 Odaily 星球日報編譯。 某個不願透露姓名的匿名駭客近期入侵了某個北韓 IT 工作者的設備，由此曝光了一個五人技術團隊如何操縱 30 多個偽造身份進行活動的內幕。該團隊不僅持有政府簽發的虛假身份證件，還透過購買 Upwork/LinkedIn 帳號滲透著各類開發專案。 調查人員獲取了其 Google 雲端硬碟數據、Chrome 瀏覽器設定檔及設備截圖。數據顯示，該團隊高度依賴 Google 系列工具協調工作日程、任務分配及預算管理，所有溝通均使用英文。 2025 年內的一份週報文件揭露了該駭客團隊的工作模式以及期間遇到的困難，例如有成員曾抱怨「無法理解工作要求，不知道該做什麼」，對應的解決方案欄中竟填寫著「用心投入，加倍努力」…… 支出明細記錄則顯示，他們的支出項包括社會安全碼 (SSN) 購買，Upwork、LinkedIn 帳號交易、電話號碼租用、AI 服務訂閱、電腦租賃及 VPN / 代理服務採購等等。 其中一份電子表格詳細記錄了以虛假身份「Henry Zhang」參加會議的時間安排及話術腳本。操作流程顯示，這些北韓 IT 工作者會先購置 Upwork 和 LinkedIn 帳號，租用電腦設備，隨後透過 AnyDesk 遠端控制工具完成外包工作。 他們用於收發款項的其中一個錢包地址為： 0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c； 該地址與 2025 年 6 月發生的 68 萬美元 Favrr 協議攻擊事件存在密切鏈上關聯，事後證實其技術長及其他開發人員均為持偽造證件的北韓 IT 工作者。透過該地址還識別出其他滲透專案的北韓 IT 人員。 該團隊的搜索記錄和瀏覽器歷史中還發現以下關鍵證據。 可能有人會問「如何確認他們來自北韓」？除了上面詳述的所有欺詐性文件之外，他們的搜索歷史還顯示他們頻繁使用 Google 翻譯，並使用俄羅斯 IP 翻譯成韓語。 就當前而言，企業在防範北韓 IT 工作者的主要挑戰集中在以下方面： 系統性協作缺失：平台服務商與私營企業之間缺乏有效的資訊共享與合作機制； 雇傭方失察：用人團隊在收到風險警示後往往表現出防禦性態度，甚至拒絕配合調查； 數量優勢衝擊：雖然其技術手段並不複雜，但憑藉龐大的求職者基數持續滲透全球就業市場； 資金轉換渠道：Payoneer 等支付平台被頻繁用於將開發工作所得法幣收入兌換為加密貨幣； 我已經多次介紹過需要注意的指標，感興趣的可以翻閱我的歷史推文，在此就不再重複贅述了。 相關報導 Google Cloud警告：北韓IT間諜攻擊擴大，全球企業應警惕 全球網路普及率最低》北韓駭客Lazarus為何這麼強？屢破各大企業安全網，拉薩路成金正恩賺錢機器發展核武 北韓比特幣儲備大增1.3萬枚「成第三大持有國」僅次美英，駭客Lazarus如何衝擊全球加密軍備賽？〈ZachXBT全文：反駭北韓駭客設備後，我明白了他們的「工作」模式〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。