朝鲜开发人员使用假身份从加密项目中窃取：ZachXBT

区块链调查员ZachXBT发布了有关朝鲜开发商的信息，据称他们从一个项目的国库中偷走了130万美元。

当使用假身份雇佣的开发人员向系统中注入恶意代码时，发生了盗窃行为，这使得未经授权的资金转移成为可能。

ZachXBT揭露加密工人计划

ZachXBT在X上解释说，被盗资金最初被发送到一个盗窃地址，并通过deBridge平台从Solana桥接到以太坊。这些50.2 ETH的资金被存入Tornado Cash，这是一种加密货币混合器，可以掩盖交易痕迹。之后，16.5 ETH被转移到两个交易所。

1/最近，在恶意代码被推送后，财政部130万美元被盗，一个团队向我寻求帮助。在团队不知情的情况下，他们雇佣了多名朝鲜IT人员作为使用假身份的开发人员。然后我发现了25多个加密项目…pic.twitter.com/W7SgY97Rd8-ZachXBT（@ZachXBT）2024年8月15日

据ZachXBT称，自2024年6月以来，朝鲜IT人员使用多个支付地址渗透了25个加密项目。他指出，亚洲可能有一个实体，可能位于朝鲜，每月收入在30万至50万美元之间，同时在不同的加密项目中雇佣至少21名工人。

进一步的分析指出，在此案件之前，550万美元已流入一个与2023年7月至2024年7月向朝鲜IT工作者支付的款项相关的外汇存款地址。这些付款与美国外国资产控制办公室（OFAC）制裁的个人Sim Hyon Sop有关。

ZachXBT的调查深入调查了恶意行为者犯下的几个错误和异常模式。据称总部位于美国和马来西亚的开发人员之间存在IP重叠，并且在录制的会话中意外泄露了备用身份。

事件发生后，ZackXBT联系了受影响的项目，建议他们查看日志并进行更深入的背景调查。他还指出了团队可以监控的几个危险信号，例如其他开发人员的角色推荐、工作经历的不一致以及高度精炼的简历或GitHub个人资料。

朝鲜网络犯罪激增

与此同时，与朝鲜有联系的团体长期以来一直与网络犯罪有关。他们的策略通常包括钓鱼计划、利用软件漏洞、未经授权的系统访问、私钥盗窃，甚至亲自渗透组织。

其最臭名昭著的组织之一Lazarus Group据称在2017年至2023年期间窃取了超过30亿美元的加密资产。

2022年，美国政府警告称，进入自由技术岗位的朝鲜工人数量激增，尤其是加密货币行业的工人。