Investigasi oleh penyelidik blockchain terkenal ZachXBT telah mengungkap infiltrasi besar-besaran Korea Utara di pasar kerja pengembangan cryptocurrency global.
Sebuah sumber yang tidak disebutkan baru-baru ini telah membobol perangkat milik seorang pekerja TI DPRK dan memberikan wawasan yang belum pernah terjadi sebelumnya tentang bagaimana sebuah tim kecil yang terdiri dari lima pekerja TI mengoperasikan lebih dari 30 identitas palsu.
Operasi DPRK Membanjiri Pasar Pekerjaan Crypto
Menurut tweet ZachXBT, tim DPRK dilaporkan menggunakan ID yang dikeluarkan pemerintah untuk mendaftar akun di Upwork dan LinkedIn, untuk mendapatkan peran pengembang di beberapa proyek. Para penyidik menemukan ekspor Google Drive, profil Chrome, dan tangkapan layar para pekerja, yang mengungkapkan bahwa produk Google menjadi pusat dalam mengorganisir jadwal, tugas, dan anggaran, dengan komunikasi yang sebagian besar dilakukan dalam bahasa Inggris.
Di antara dokumen tersebut terdapat spreadsheet 2025 yang berisi laporan mingguan dari anggota tim, yang memberikan wawasan tentang operasi internal dan pola pikir mereka. Entri yang biasa termasuk pernyataan seperti "Saya tidak dapat memahami persyaratan pekerjaan, dan tidak tahu apa yang perlu saya lakukan," dengan catatan mandiri seperti "Solusi / perbaikan: Berikan usaha yang cukup dengan sepenuh hati."
Spreadsheet lain melacak pengeluaran, menunjukkan pembelian nomor Jaminan Sosial, akun Upwork dan LinkedIn, nomor telepon, langganan AI, penyewaan komputer, dan layanan VPN atau proxy. Jadwal pertemuan dan skrip untuk identitas palsu, termasuk satu atas nama "Henry Zhang," juga ditemukan.
Metode operasional tim dilaporkan melibatkan pembelian atau penyewaan komputer, menggunakan AnyDesk untuk melakukan pekerjaan secara jarak jauh, dan mengonversi fiat yang diperoleh menjadi cryptocurrency melalui Payoneer. Satu alamat dompet, 0x78e1, yang terkait dengan kelompok tersebut terhubung secara on-chain dengan eksploitasi senilai $680,000 di Favrr pada Juni 2025, di mana CTO proyek dan pengembang lainnya kemudian diidentifikasi sebagai pekerja TI DPRK yang menggunakan dokumen palsu. Pekerja terkait DPRK tambahan terhubung ke proyek melalui alamat 0x78e1.
Indikator asal mereka dari Korea Utara termasuk penggunaan Google Translate yang sering untuk pencarian berbahasa Korea yang dilakukan dari alamat IP Rusia. ZachXBT mengatakan bahwa para pekerja TI ini tidak terlalu canggih, tetapi ketekunan mereka didorong oleh jumlah peran yang mereka targetkan di seluruh dunia.
Tantangan dalam melawan operasi ini termasuk kolaborasi yang buruk antara perusahaan swasta dan layanan, serta perlawanan dari tim ketika aktivitas penipuan dilaporkan.
Ancaman Persisten Korea Utara
Peretas Korea Utara, terutama kelompok Lazarus, terus menjadi ancaman signifikan bagi industri. Pada Februari 2025, kelompok tersebut mengatur peretasan bursa kripto terbesar dalam sejarah, dengan mencuri sekitar $1,5 miliar dalam Ethereum dari Bybit yang berbasis di Dubai.
Serangan tersebut mengeksploitasi kerentanan di penyedia dompet pihak ketiga, Safe{Wallet}, yang memungkinkan para peretas untuk melewati langkah-langkah keamanan multi-tanda tangan dan mengalirkan dana ke beberapa dompet. FBI mengaitkan pelanggaran tersebut dengan operator Korea Utara, memberi labelnya "TraderTraitor".
Kemudian, pada Juli 2025, CoinDCX, sebuah bursa cryptocurrency India, menjadi korban pencurian sebesar $44 juta, yang juga terkait dengan Grup Lazarus. Para penyerang menyusup ke infrastruktur likuiditas CoinDCX, memanfaatkan kredensial internal yang terekspos untuk melaksanakan pencurian.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Google Docs, Upwork, dan LinkedIn: Di Balik Operasi Kripto Rahasia Pekerja TI Korea Utara
Investigasi oleh penyelidik blockchain terkenal ZachXBT telah mengungkap infiltrasi besar-besaran Korea Utara di pasar kerja pengembangan cryptocurrency global.
Sebuah sumber yang tidak disebutkan baru-baru ini telah membobol perangkat milik seorang pekerja TI DPRK dan memberikan wawasan yang belum pernah terjadi sebelumnya tentang bagaimana sebuah tim kecil yang terdiri dari lima pekerja TI mengoperasikan lebih dari 30 identitas palsu.
Operasi DPRK Membanjiri Pasar Pekerjaan Crypto
Menurut tweet ZachXBT, tim DPRK dilaporkan menggunakan ID yang dikeluarkan pemerintah untuk mendaftar akun di Upwork dan LinkedIn, untuk mendapatkan peran pengembang di beberapa proyek. Para penyidik menemukan ekspor Google Drive, profil Chrome, dan tangkapan layar para pekerja, yang mengungkapkan bahwa produk Google menjadi pusat dalam mengorganisir jadwal, tugas, dan anggaran, dengan komunikasi yang sebagian besar dilakukan dalam bahasa Inggris.
Di antara dokumen tersebut terdapat spreadsheet 2025 yang berisi laporan mingguan dari anggota tim, yang memberikan wawasan tentang operasi internal dan pola pikir mereka. Entri yang biasa termasuk pernyataan seperti "Saya tidak dapat memahami persyaratan pekerjaan, dan tidak tahu apa yang perlu saya lakukan," dengan catatan mandiri seperti "Solusi / perbaikan: Berikan usaha yang cukup dengan sepenuh hati."
Spreadsheet lain melacak pengeluaran, menunjukkan pembelian nomor Jaminan Sosial, akun Upwork dan LinkedIn, nomor telepon, langganan AI, penyewaan komputer, dan layanan VPN atau proxy. Jadwal pertemuan dan skrip untuk identitas palsu, termasuk satu atas nama "Henry Zhang," juga ditemukan.
Metode operasional tim dilaporkan melibatkan pembelian atau penyewaan komputer, menggunakan AnyDesk untuk melakukan pekerjaan secara jarak jauh, dan mengonversi fiat yang diperoleh menjadi cryptocurrency melalui Payoneer. Satu alamat dompet, 0x78e1, yang terkait dengan kelompok tersebut terhubung secara on-chain dengan eksploitasi senilai $680,000 di Favrr pada Juni 2025, di mana CTO proyek dan pengembang lainnya kemudian diidentifikasi sebagai pekerja TI DPRK yang menggunakan dokumen palsu. Pekerja terkait DPRK tambahan terhubung ke proyek melalui alamat 0x78e1.
Indikator asal mereka dari Korea Utara termasuk penggunaan Google Translate yang sering untuk pencarian berbahasa Korea yang dilakukan dari alamat IP Rusia. ZachXBT mengatakan bahwa para pekerja TI ini tidak terlalu canggih, tetapi ketekunan mereka didorong oleh jumlah peran yang mereka targetkan di seluruh dunia.
Tantangan dalam melawan operasi ini termasuk kolaborasi yang buruk antara perusahaan swasta dan layanan, serta perlawanan dari tim ketika aktivitas penipuan dilaporkan.
Ancaman Persisten Korea Utara
Peretas Korea Utara, terutama kelompok Lazarus, terus menjadi ancaman signifikan bagi industri. Pada Februari 2025, kelompok tersebut mengatur peretasan bursa kripto terbesar dalam sejarah, dengan mencuri sekitar $1,5 miliar dalam Ethereum dari Bybit yang berbasis di Dubai.
Serangan tersebut mengeksploitasi kerentanan di penyedia dompet pihak ketiga, Safe{Wallet}, yang memungkinkan para peretas untuk melewati langkah-langkah keamanan multi-tanda tangan dan mengalirkan dana ke beberapa dompet. FBI mengaitkan pelanggaran tersebut dengan operator Korea Utara, memberi labelnya "TraderTraitor".
Kemudian, pada Juli 2025, CoinDCX, sebuah bursa cryptocurrency India, menjadi korban pencurian sebesar $44 juta, yang juga terkait dengan Grup Lazarus. Para penyerang menyusup ke infrastruktur likuiditas CoinDCX, memanfaatkan kredensial internal yang terekspos untuk melaksanakan pencurian.