新聞 
幣種資訊 
關於我們 
北韓駭客透過 Google Docs 與 Upwork 滲透加密貨幣產業,偽裝全球開發者引發安全疑慮
根據鏈上分析專家 ZachXBT 近日公開的調查,北韓所屬的駭客團體正以系統化的手法,透過 Google Docs、Upwork 和 LinkedIn 等主流平台深入滲透全球加密貨幣開發社群。這些駭客伺機偽裝成一般遠端自由工作者,利用偽造身分獲取職位,造成業界針對內部人員身分驗證的高度警覺。
根據 ZachXBT 揭露的資料,在一名匿名人士成功入侵某北韓 IT 團隊設備後所取得的文件顯示,目前已知的駭客團體由約五人組成,卻經營超過 30 組假身分進行活動。這些人使用政府核發的偽造證件、VPN、AI 軟體與電腦設備,在多個平台上註冊開發者帳戶,其中 Google Drive、Chrome 個人設定檔及截圖等資訊,都顯示他們利用 Google 工具管理工作內容、分配任務以及設定預算,其溝通語言大多為英文。
更令人關注的是,調查中發現他們企劃的「2025 年工作試算表」,其內容包括成員每週工作報告與會計細目,部分留言如「看不太懂任務內容」與「要更努力工作」等紀錄,顯示該團隊成員積極適應工作環境,試圖融入全球開發工作流程。
從其他檔案內容來看,他們還記錄了社會安全號碼、Upwork 和 LinkedIn 假帳號、虛擬電話號碼、AI 工具服務與電腦租賃費用等購買明細,也包含一份化名為「Henry Zhang」的面試用對白與會議行程表。
駭客們通常透過購買或租賃電腦設備,將其設置為允許遠端操作,藉此偽裝為身處海外的開發人才。他們在接收報酬後會透過 Payoneer 將資金轉換為加密貨幣,進而進入各式錢包轉移資金。調查指出,其中一個與之相關的錢包地址「0x78e1」,便涉及 2025 年 6 月針對加密項目「Favrr」的駭客攻擊,損失估計高達 68 萬美元(約新台幣 9,452 萬元)。Favrr 的首席技術長(CTO)與部分開發人員也已確認與北韓有關聯。
此外,調查中也觀察到該駭客小組頻繁透過 Google 翻譯在俄羅斯 IP 環境下搜尋韓文關鍵字,暴露其來源線索。ZachXBT 評論指出:「他們雖然技術上稱不上頂尖,但透過數量龐大的職缺應徵行動,製造出實質性的戰略威脅。」
目前,民間服務平台缺乏足夠協作應對,加上即使有內部人士提交異常舉報也常被忽略,這些因素成為追蹤此類行動的重大阻礙。
回顧歷史,北韓駭客的威脅早已不容忽視。2025 年 2 月,知名駭客組織「拉撒路集團(Lazarus Group)」對總部位於杜拜的交易平台 Bybit 發動攻擊,造成約 15 億美元(約新台幣 2,085 億元)的損失,成為史上最大規模的加密貨幣駭客事件之一。當時他們利用 Safe{Wallet} 錢包的多重簽章漏洞入侵,美國聯邦調查局(FBI)已將該事件定義為「TraderTraitor」行動的一環。
今年 7 月,印度交易所 CoinDCX 也遭駭 4,400 萬美元(約新台幣 6.1 億元),同樣被發現與拉撒路集團有密切關聯。據悉,駭客取得流出之內部憑證後進入其流動性基礎設施執行攻擊。
評論:北韓對加密領域的滲透已不限於傳統的資金竊取模式,更涉及全球區塊鏈人力資源的操縱與資訊戰。倘若相關產業無法提升身分驗證與背景審查機制,將使整體生態信任基礎持續受損。全球開發者社群與技術平台亟需通力合作,阻止此類惡意活動持續發酵。
留言 0