反骇客行动揭北韩 IT 工作者秘密：虚假身份渗透加密公司、涉 68 万美元骇客案

一场针对北韩 IT 工作者的反骇客行动，意外揭开了他们渗透全球加密货币公司的内部运作细节。根据加密货币调查员 ZachXBT 公开的截图与文件，这个小型团队不仅与 6 月发生的 68 万美元加密骇客事件有关，还长期利用虚假身份、自由职业平台与远端工具，成功进入多家区块链与 Web3 项目内部。

反骇客攻击揭开内部运作

（来源：ZachXBT）

ZachXBT 表示，这批资料来自一位匿名人士成功入侵的一台北韩员工设备。截图显示，该团队由 6 名北韩 IT 工作者组成，至少持有 31 个虚假身份，从伪造政府证件、电话号码，到购买 LinkedIn 与 UpWork 帐号，专门用来申请「区块链开发人员」与「智慧合约工程师」等职位。

甚至有成员假扮为曾在 OpenSea 与 Chainlink 工作的工程师，并参加 Polygon Labs 的全端工程师面试。

渗透手法：自由职业平台 + 远端工具

（来源：ZachXBT）

泄漏文件显示，这些北韩工作者透过 UpWork 等平台接单，并使用 AnyDesk、VPN 等工具远端登入雇主系统，隐藏真实位置。他们主要使用 Google Drive、Google 日历与韩英翻译工具协作，营运支出记录显示，仅 5 月份就花费 1,489.8 美元 用于相关操作与租用设备。

与 68 万美元骇客案的关联

调查发现，其中一个加密钱包地址 0x78e1a 与 2025 年 6 月粉丝代币市场 Favrr 的 68 万美元漏洞直接相关。

ZachXBT 指出，当时 Favrr 的首席技术长「Alex Hong」及多名开发人员，实际上是伪装成外国工程师的北韩 IT 工作者。这些资金最终透过 Payoneer 转换为加密货币，用于资助他们的行动。

目标与风险：不只加密产业

从搜索纪录来看，该团队不仅关注 ERC-20 与 Solana 的跨链部署，还对欧洲顶尖 AI 开发公司进行调查，显示其渗透目标可能扩展至人工智慧与其他高科技领域。

ZachXBT 呼吁加密与科技公司加强招聘审查，并加大自由职业平台与企业间的合作，以防止类似渗透行为。

结语

这次反骇客行动揭示了北韩 IT 工作者渗透加密产业的高效率与隐蔽性——从虚假身份、远端控制，到直接参与骇客攻击，整套流程已经高度成熟。随着美国财政部近期对相关人员与实体实施制裁，业界必须意识到，这场针对加密与科技领域的「隐形战争」仍在持续升级。更多区块链安全与调查报导，请关注 Gate 官方平台。