朝鲜加密货币计划曝光：通过虚假开发者身份被盗 350 万美元

著名区块链侦探 ZachXBT 本周发布了从一名朝鲜 IT 人员拥有的被黑客入侵的设备中获得的机密信息，揭露了一个有组织的加密货币欺诈计划，该计划在几个月内筹集了超过 350 万美元。该情报由一位匿名安全研究人员提供，他成功渗透了其中一台特工的计算机。 ZachXBT 分享了他对 X 的分析，解释了从 2024 年 11 月下旬开始，大约 140 名工作人员在化名​​“Jerry”的个人监督下，每月产生约 100 万美元的加密货币。1/ 最近，一个未透露姓名的来源共享数据从朝鲜内部支付服务器中泄露，其中包含 390 个账户、聊天日志和加密交易。我花了很长时间浏览所有这些内容，但没有一个公开发布过。它揭示了一个错综复杂的… pic.twitter.com/aTybOrwMHq — ZachXBT (@zachxbt) 2026 年 4 月 8 日 操作人员使用伪造的身份来确保在 Indeed 等招聘网站上获得远程技术职位。证据显示，Jerry 提交了全栈开发和软件工程机会申请，同时利用 Astrill VPN 隐藏地理位置。在泄露事件中发现的一份信件草稿中，Jerry 在德克萨斯州一家 T 恤制造公司担任 WordPress 和 SEO 专家，要求每周工作 15 至 20 小时，每小时 30 美元。第二名被称为“流氓”的特工在财务文件上使用了伪造的凭证和香港邮寄地址。泄露的材料还包含被认为是 Rascal 的爱尔兰护照的图像，但其实际部署尚未得到证实。该集体通过一个名为“luckyguys.site”的专门网站管理金融交易。该平台上的许多用户帐户都使用基本的默认密码“123456”，这表明存在重大的操作安全漏洞。该平台具有沟通渠道和报告系统的双重用途。操作员通过界面记录收入并接收指令。指定 PC-1234 的管理帐户验证交易并传播加密货币交易所和金融技术平台的访问凭据。泄露数据中提到的三个组织——Sobaeksu、Saenal 和 Songkwang——目前面临美国外国资产控制办公室的制裁。利用中国的金融机构和Payoneer等平台将数字货币兑换成传统货币。 2024 年 12 月，Tether 锁定了一个与该网络相连的基于 Tron 的钱包。泄露的信息还显示，某些特工正在制定盗窃策略。通讯中提到了利用尼日利亚中介机构破坏 GalaChain 上一项名为 Arcano 的区块链计划的计划，但现有数据中仍缺乏执行确认。管理人员分发了 43 个针对逆向工程实用程序（包括 Hex-Rays 和 IDA Pro）的教育模块，强调反汇编技术、调试程序和恶意软件检查。完整的数据集包含 390 个用户帐户、通信记录和浏览活动。调查人员发现 33 名特工在单一网络环境中通过 IPMsg 交换消息。 ZachXBT 观察到，与 AppleJeus 和 TraderTraitor 等其他朝鲜网络犯罪单位相比，该组织的技术熟练程度较低。自 2009 年以来，朝鲜国家支持的威胁行为者已累计挪用超过 70 亿美元。该特定组织还与 2025 年 4 月 1 日发生的价值 2.8 亿美元的 Drift 协议安全漏洞有关。