新聞 
幣種資訊 
關於我們 
北韓 IT 團隊疑假扮開發者滲透「加密貨幣」產業,在短短數月內累積超過「350 萬美元」資金,並透過「虛假身分」、「洗錢」與「制裁規避」等手法,引發「加密貨幣」社群對供應鏈安全與招募流程的高度關注。
根據區塊鏈追蹤分析師 ZachXBT 於 3 日在 X(原 Twitter)上發布的貼文,一名匿名駭客入侵了疑似北韓 IT 人員的裝置,取得多份內部文件。這些資料顯示,一名代號為「Jerry」的成員與約 140 人的團隊,自去年 11 月底起,每月可從多個「加密貨幣」相關工作與專案中賺取約「100 萬美元」,累計金額已超過「350 萬美元」等值「加密資產」。
這個團隊被指透過偽造履歷與身分,假扮遠端「開發者」或 IT 承包商,接觸境外「加密貨幣」專案與 Web3 公司。根據流出的文件,他們使用「luckyguys.site」作為內部資金管理網站,並以共用密碼「123456」登入,集中查看與分配收入。ZachXBT 指出,該網站部分使用者疑似與美國財政部海外資產控制辦公室(OFAC)制裁名單上的「小白水」、「Saena(새날)」、「Songgang(송광)」等北韓相關實體有所關聯,顯示背後網絡並非單一小型詐騙團隊,而是與既有「制裁規避」體系相互連結。
資金流向方面,分析顯示,相關「加密貨幣」資產在完成多次鏈上轉移與混幣操作後,會被兌換成法幣,再透過線上支付平台「Payoneer」出金到中國境內銀行帳戶。部分錢包地址還與「泰達幣(USDT)」在去年 12 月列入黑名單的北韓關聯地址存在鏈上關聯。「評論」這意味著北韓的資金網絡並非一次性行動,而是長期運作、可持續利用既有黑名單外圍地址進行周轉。
過去幾年,與北韓政權相關的駭客與 IT 團隊,一直是「加密貨幣」產業的重大風險來源。根據多方情資統計,自 2009 年以來,北韓組織疑似透過駭客攻擊及金融犯罪,累計非法獲取的資金已超過「70 億美元」。其中包含「Bybit」事件、「Ronin Bridge」攻擊等多起大型「DeFi」與交易平台攻擊。近期在 4 月 1 日發生的「Drift Protocol」攻擊,同樣被部分安全研究人員指向北韓相關組織。
此次流出文件還包含一份內部「排行榜」,以 12 月 8 日之後的時間點為基準,逐一列出各名 IT 成員在特定期間內為組織帶來多少「加密貨幣」收入,並附上對應交易的區塊鏈瀏覽器連結。這種績效式管理模式顯示,相關人員並非鬆散合作,而是以「業績導向」方式被集中指揮與考核,接近傳統企業化架構。「評論」這也說明北韓 IT 團隊在遠端就業、外包開發、自由接案平台上的滲透,可能已形成穩定且可複製的營運模式。
不過,ZachXBT 也在貼文中指出,該團隊在技術與營運手法上,與「AppleJeus」、「TraderTraitor」等已知北韓駭客組織相比,仍顯得相對粗糙與不夠成熟。他認為,後者在攻擊效率與社交工程等方面更為老練,對整個「加密貨幣」產業構成的風險仍然更大。
從行動模式來看,北韓相關組織已不再只依賴傳統「惡意程式」與「智能合約漏洞」等技術攻擊,而是將「假身分就業」、「遠端外包」、「錢包多跳轉」、「跨境出金」等手法結合,打造一條從開發者招募、專案參與到「洗錢」出金的完整攻擊與收益鏈條。「評論」對「加密貨幣」公司與新創團隊而言,單純加強合約審計已不足以應對此類風險,必須同步強化以下幾個面向:
- 開發者與承包商的背景審查與 KYC 程序
- 對錢包地址與資金流向的持續監測
- 對供應鏈合作夥伴與外包團隊的合規與安全稽核
隨著北韓 IT 團隊藉由假扮開發者滲透「加密貨幣」與 Web3 生態的案例不斷浮現,業界普遍預期,未來監管機構、制裁單位與鏈上分析公司,將進一步收緊對可疑遠端工作與跨境資金流的監控強度。
留言 0