揭开神秘面纱：朝鲜加密黑客的隐秘运作与策略

最近，一起加密货币**事件引发了广泛关注。某团队发现，其金库中的130万美元被恶意代码窃取。调查显示，**背后竟有一支由虚假身份的朝鲜IT人员组成的黑客团队。自2024年6月以来，与这些开发者有关的至少25个加密项目持续活跃。这一发现揭示了朝鲜黑客如何利用伪装身份和复杂的**手法在加密世界中运作。

**过程揭秘

**事件的**过程如下：

1. 130万美元转移至**地址。
2. 通过deBridge将资金从Solana转移到以太坊网络。
3. 存入Tornado Cash的50.2 ETH以混淆资金来源。
4. 向两个交易所转账16.5 ETH。

发现的幕后细节

通过对21个开发者的支付地址的调查，我们绘制出一组约37.5万美元的支付集群。这些支付活动涉及一个外汇存款地址，其中包括朝鲜IT人员从2023年7月至2024年期间收到的550万美元资金，该地址与OFAC制裁人员Sim Hyon Sop相关联。

调查发现

在调查过程中，我们发现了一些有趣的情况：

• 俄罗斯电信IP被美国和马来西亚的开发者使用。
• 开发记录中意外泄露了他们的其他身份信息。
• 开发付款地址涉及OFAC制裁名单上的Sang Man Kim和Sim Hyon Sop。
• 一些开发者通过招聘公司安排工作。
• 多个项目中的IT人员存在相互推荐的情况。

团队应对建议

为了防范类似风险，团队应关注以下指标：

1. 互推荐的角色和背景。
2. 开发者的简历和GitHub活动，警惕虚假信息。
3. 表面上乐意接受KYC，但提交假身份证的情况。
4. 详细询问开发者的来源地。
5. 关注刚被解雇的开发者是否迅速出现新工作账户。
6. 注意那些看似**但实际工作表现差的开发者。
7. 检查开发者的日志记录。
8. 留意开发者是否使用流行的NFT头像。
9. 注意开发者是否有明显的亚洲口音。

结论

这项研究揭示了一个重要事实：在亚洲，一些实体通过使用虚假身份可以同时参与多个项目，并每月赚取30万至50万美元。此类策略显示了朝鲜黑客在加密领域的隐秘运作方式及其威胁。

后续动态

在本文发布后，另一个项目发现其雇佣了一名朝鲜IT人员（Naoki Murano），该人员在看到我的文章后迅速退出了项目并删除了他的GitHub账号。这一事件进一步证实了黑客团队的活动范围和隐秘性。