ZachXBT:先潛伏再攻擊 起底朝鮮加密黑客不為人知的幕后
作者:ZachXBT,加密偵探;翻譯:金色財經(jīng)xiaozou
最近有一個團(tuán)隊(duì)尋求我的幫助,事情的起因是有人通過惡意代碼從他們的金庫中盜走130萬美元。
這個團(tuán)隊(duì)不知道的是,他們雇傭了多名虛假身份的朝鮮IT人員作為開發(fā)者。
然后,我發(fā)現(xiàn)了自2024年6月以來與這些開發(fā)人員有關(guān)的一直保持活躍的加密項(xiàng)目就有至少25個。
1)將130萬美元轉(zhuǎn)移到偷盜地址
2)通過deBridge將130萬美元從Solana橋接到Ethereum
3)向Tornado存入50.2ETH
4)向兩個交易所轉(zhuǎn)賬16.5ETH
偷盜地址為:
6USfQ9BX33LNvuR44TXr8XKzyEgervPcF4QtZZfWMnet
0x8f0212b1a77af1573c6ccdd8775ac3fd09acf014
-俄羅斯電信IP被美國和馬來西亞的開發(fā)者使用。
-在開發(fā)記錄中他們不小心泄露了他們在記事本上的其他身份。
-開發(fā)付款地址涉及到OFAC制裁名單上的SangManKim和SimHyonSop的。
-一些開發(fā)者是由招聘公司安排的。
-多個項(xiàng)目具有3名以上互推薦IT人員。
各團(tuán)隊(duì)未來可以關(guān)注的一些指標(biāo)包括:
1)他們互推薦的角色
2)漂亮的簡歷/GitHub活動,盡管有時會謊報工作經(jīng)歷。
3)通常表面上樂意接受KYC,但卻提交假身份證,希望團(tuán)隊(duì)不會進(jìn)一步調(diào)查。
4)關(guān)于他們所聲稱的來源地,問些具體問題。
5)一個開發(fā)人員被解雇了,但立即出現(xiàn)了好幾個找工作的新賬戶。
6)可能一眼看起來是很優(yōu)秀的開發(fā)者,但往往工作起來就表現(xiàn)不佳。
7)查看日志
8)喜歡使用流行NFTpfps
9)亞洲口音
以防你是那種把一切歸咎于朝鮮的事都稱為巨大陰謀的人。無論如何,這項(xiàng)研究證明:
在亞洲,一個實(shí)體通過使用假身份可以同時從事25個以上的項(xiàng)目,每月可以獲得30萬至50萬美元的收入。后續(xù):
在本文發(fā)布不久后,另一個項(xiàng)目發(fā)現(xiàn)他們雇傭了我名單里列出的一個朝鮮IT人員(NaokiMurano),項(xiàng)目管理人員在他們的聊天中分享了我的文章。