北朝鮮のIT労働者は、暗号企業を標的にするために30 +偽のIDを使用しました:レポート

北朝鮮のITワーカーからの侵害されたデバイスが、$680,000のFavrrハッキングの背後にいるチームの内部の仕組みと、暗号プロジェクトを標的にするためのGoogleツールの使用を暴露しました。

概要

• 北朝鮮のIT労働者に属する妥協されたデバイスが、脅威者の内部動作を暴露した。
• 証拠は、オペレーターがGoogleのツール、AnyDesk、VPNを使用して暗号企業に侵入したことを示しています。

オンチェーン探偵のZachXBTによると、その追跡は無名の情報源から始まり、作業員の1人のコンピュータにアクセスすることで、オペレーターたちがどのように計画し、彼らの計画を実行したのかを明らかにするスクリーンショット、Google Driveのエクスポート、Chromeプロファイルを明らかにしました。

ウォレットのアクティビティを利用し、デジタルフィンガープリントを照合することで、ZachXBTはソースマテリアルを確認し、グループの暗号通貨取引を2025年6月のファントークンマーケットプレイスFavrrのエクスプロイトに結び付けました。一つのウォレットアドレス「0x78e1a」は、事件から盗まれた資金への直接のリンクを示しました。

オペレーションの内部

侵害されたデバイスは、小さなチーム — 合計6人 — が少なくとも31の偽のアイデンティティを共有していたことを示しました。ブロックチェーン開発の仕事を得るために、彼らは政府発行のIDと電話番号を集め、さらにはカバーを完成させるためにLinkedInやUpworkのアカウントまで購入しました。

デバイス上で見つかったインタビューのスクリプトは、彼らがPolygon Labs、OpenSea、Chainlinkなどの著名なブロックチェーン企業での経験を自慢していることを示していました。

Googleのツールは彼らの組織的なワークフローの中心でした。脅威アクターは、予算とスケジュールを追跡するためにドライブのスプレッドシートを使用していることが判明し、Google翻訳は韓国語と英語の間の言語のギャップを埋めました。

デバイスから引き出された情報の中には、ITワーカーがコンピュータをレンタルし、業務用の新しいアカウントを購入するためにVPNアクセスの料金を支払っていることを示すスプレッドシートが含まれていました。

チームはまた、AnyDeskなどのリモートアクセスツールに依存し、クライアントシステムを制御しながら、実際の場所を明らかにしないようにしていました。VPNログは彼らの活動を複数の地域に結び付け、北朝鮮のIPアドレスをマスクしました。

追加の調査結果は、そのグループが異なるブロックチェーンにトークンを展開する方法を模索し、ヨーロッパのAI企業を探索し、暗号スペースでの新しいターゲットをマッピングしていることを明らかにしました。

北朝鮮の脅威のあるアクターがリモートジョブを利用

ZachXBTは、複数のサイバーセキュリティレポートで警告された同じパターンを発見しました。北朝鮮のITワーカーが合法的なリモートジョブを得て、暗号セクターに滑り込むというものです。彼らはフリーランスの開発者として装うことで、コードリポジトリ、バックエンドシステム、そしてウォレットインフラストラクチャにアクセスを得ます。

デバイスで発見された1つの文書は、潜在的な雇用主との通話中に画面上または近くに置いておくことを意図したと思われるインタビューのメモと準備資料でした。