ZachXBT揭露朝鲜IT人员使用30个虚假身份活跃于各大开发平台

CHAINTT • 2025年8月14日上午6:36 • 资讯 • 阅读 72

区块链调查员ZachXBT揭露了朝鲜IT人员通过远程开发职位渗透西方科技公司的精密运作体系。

在8月13日发布的 调查报告中，调查人员指出匿名信源成功入侵了五名朝鲜IT工作者之一的设备，首次完整曝光其运作方式。

该团队系统性地购买虚假社保号码、Upwork和LinkedIn账户、电话号码及租赁电脑设备，以此获取各类项目的开发职位。

谷歌云端硬盘导出数据和Chrome浏览器配置文件显示，这些工作者大量使用谷歌产品来协调团队日程、任务和预算，全程使用英语沟通。

2025年的周报暴露出团队成员对工作要求理解困难，有人写道：”我无法理解工作要求，也不知道该做什么”，同时收到”必须全心投入”的指令。

Table of Contents

运作方式与技术栈

朝鲜工作者遵循固定模式：先购买Upwork和LinkedIn账户，购置或租赁电脑设备，再通过AnyDesk远程控制软件为雇主工作。

支出明细表记录了为维持虚假身份所需的人工智能订阅、VPN、代理服务器等工具的采购记录。

每个虚构身份都配有完整的会议日程和话术脚本，例如”Henry Zhang”这类包含详细背景故事和工作经历的虚拟人设。

该团队使用单一钱包地址进行收支，ZachXBT已将该地址与多起欺诈行为关联。

该钱包地址关联到2025年6月Favrr平台68万美元漏洞攻击事件，该公司CTO及其他开发人员后被证实为使用伪造文件的朝鲜IT工作者。

ZachXBT确认Favrr首席技术官”Alex Hong”背景可疑，其LinkedIn资料近期被删除且工作经历无法验证。

被入侵设备的浏览器记录显示，尽管使用俄罗斯IP地址操作，但频繁出现韩语翻译的谷歌搜索记录。

这些证据确证了工作者朝鲜背景，与其流利的英语沟通和西方人设形成反差。

ZachXBT指出，打击朝鲜IT工作者的主要困难在于服务商与私营部门 缺乏协作，以及用人团队在收到渗透警告时的防御性反应。

这些工作者通过Payoneer将开发所得转换为加密货币，调查员强调他们”手法并不高明，但凭借全球求职市场的海量投递形成持续威胁”。

本次曝光揭示了朝鲜对西方科技公司渗透的规模，被查获的团队可能只是远程开发平台上运作类似计划的数百个团队之一。