Des révélations sur l'infiltration des projets de chiffrement par des hackers IT nord-coréens ! ZachXBT révèle : une équipe de 5 personnes a falsifié plus de 30 identités, et un bug de 680 000 $ pourrait être de leur fait.
Le célèbre détective off-chain ZachXBT a publié un rapport d'enquête majeur, révélant que les personnels informatiques de la République populaire démocratique de Corée (DPRK) ont infiltré en profondeur l'industrie des cryptoactifs grâce à une fraude systémique d'identification. Une équipe de cinq hackers a utilisé des documents falsifiés pour acheter des comptes premium Upwork/LinkedIn, se faisant passer pour des développeurs afin d'obtenir des accès sensibles aux projets. Une source anonyme a réussi à infiltrer leurs appareils, exposant les détails de leur fonctionnement et les portefeuilles associés, dont l'Adresse était directement liée à l'attaque de 680 000 dollars du protocole Favrr en juin 2025. Le rapport révèle leur vaste modèle opérationnel de fabrique d'identités virtuelles et les chaînes de financement, tirant la sonnette d'alarme sur la sécurité des projets crypto.
【Profondeur de l'infiltration : exposition complète de l'usine de faux identités】
Réseau d'identités fictives : Cette équipe nord-coréenne a créé plus de 30 identités fictives (comme "Henry Zhang"), utilisant de fausses pièces d'identité gouvernementales pour acheter des comptes certifiés sur des plateformes de recherche d'emploi professionnelles (Upwork, LinkedIn), réussissant à infiltrer plusieurs équipes de développement de projets de Cryptoactifs.
Chaîne d'outils complète : Les états financiers divulgués montrent que ses outils d'achat systématiques incluent : Numéro de sécurité sociale américain (SSN), compte de recherche d'emploi à haute réputation, numéro de téléphone, service d'abonnement AI, location de cloud computing, VPN/ réseaux proxy avancés (utilisés pour masquer la localisation géographique).
Détails des opérations divulgués : Une source anonyme a infiltré ses appareils pour obtenir des données clés telles que Google Drive et les fichiers de configuration de Chrome. L'équipe utilise le contrôle à distance AnyDesk associé à un VPN pour simuler avec précision la localisation géographique ; discussions internes sur Telegram concernant le placement des postes et le paiement des salaires (utilisant un portefeuille ERC-20 pour les paiements).
Objectif clair : Le document contient un calendrier de réunion pour un projet cryptoactif spécifique et un script détaillé pour maintenir une fausse identification, visant à obtenir le code source du projet (GitHub) et l'accès aux systèmes internes.
【Preuve clé : l'adresse off-chain pointe vers une attaque de 680 000 dollars】
Portefeuille associé : L'équipe de suivi ZachXBT a souvent utilisé l'adresse de portefeuille ERC-20 (0x78e1...), et a découvert qu'elle était directement liée à l'attaque par vulnérabilité de 680 000 dollars subie par le protocole Favrr en juin 2025.
Identification confirmée : Cette attaque a été attribuée au CTO du projet et à certains développeurs - il est maintenant prouvé que ces "cadres techniques" étaient en réalité des informaticiens nord-coréens utilisant de fausses identités.
Secousses dans l'industrie : Cette découverte a poussé plusieurs projets de cryptoactifs à effectuer des auto-audits d'urgence, certains projets confirmant que des opérateurs nord-coréens s'étaient infiltrés dans leurs équipes de développement ou de décision.
【Source de vérification : trace numérique verrouillant le contexte nord-coréen】
Malgré les doutes de la communauté sur l'origine des personnes, ZachXBT a fourni des preuves irréfutables :
Trace de langue : L'historique du navigateur montre de nombreux enregistrements de traduction de Google du coréen à l'anglais.
Emplacement physique : Toutes les activités sont effectuées via une adresse IP russe, conforme au modèle typique des opérations à l'étranger du personnel informatique nord-coréen.
Documents frauduleux : Un grand nombre de pièces d'identité gouvernementales et de certificats professionnels contrefaits.
【Réaction de l'industrie : vulnérabilités de sécurité et défis de défense】
Recrutement des failles mises en évidence : La communauté critique certains projets pour leur manque de vérification des antécédents (Background Check), et pour avoir réagi de manière défensive lorsqu'ils ont reçu des alertes de sécurité. Shaun Potts, fondateur de l'agence de recrutement cryptographique Plexus, a déclaré : "C'est un risque opérationnel inhérent à l'industrie, tout comme les attaques de hackers ne peuvent être éradiquées, mais le risque peut être réduit."
Menace à la sécurité : L'incident a révélé un énorme risque dans la gestion des droits d'accès au code des projets de cryptoactifs, de nombreuses équipes peuvent ne pas savoir qui a réellement accès à leur bibliothèque de code source.
Taux de réussite de l'identification variable : Certaines plateformes (comme l'échange Kraken en mai 2025) ont réussi à identifier et à intercepter des demandeurs d'emploi déguisés de Corée du Nord, mais davantage de projets sont devenus victimes de ce type d'APT (attaque par menaces persistantes avancées).
【Affaire associée : l'escroquerie du "télétravail" des hackers nord-coréens】
Escroquerie à l'emploi : En janvier 2025, une méthode similaire a été utilisée dans une escroquerie par SMS ciblant les résidents de New York, en utilisant "aide au travail à distance" comme appât, incitant les victimes à déposer des USDT/USDC, volant des cryptoactifs d'une valeur de 2,2 millions de dollars.
Saisie de fonds : En juin 2025, les autorités américaines ont saisi plus de 770 dollars américains en cryptoactifs, les accusant d'être des revenus dissimulés de travailleurs indépendants nord-coréens, dont les fonds ont finalement été transférés au gouvernement nord-coréen.
【Conclusion : La sonnette d'alarme de la sécurité cryptographique dans la guerre des identités virtuelles】
Le rapport d'enquête de ZachXBT a révélé une fissure dans l'infiltration de l'industrie des cryptoactifs par le groupe de hackers soutenu par l'État nord-coréen. La "fabrique d'identité virtuelle" sophistiquée qu'il a construite et la chaîne de fraude à l'emploi bien rodée ne sont plus des actions isolées, mais constituent une attaque de chaîne d'approvisionnement systématique (Supply Chain Attack). Les portefeuilles associés pointent vers des événements d'attaque majeurs, prouvant que leur objectif n'est pas seulement de voler des salaires, mais aussi de préparer des actions de hacking à plus grande échelle. Cet événement sonne l'alarme de sécurité de plus haut niveau pour tous les projets de cryptoactifs :
Renforcement de l'identification : Il est impératif de mettre en œuvre des vérifications d'identité multiples et des enquêtes de fond strictes, en particulier pour les postes techniques à distance.
Minimisation des permissions : Contrôler strictement l'accès au code source et aux systèmes critiques, et réaliser des audits réguliers.
Sensibilisation aux menaces : L'industrie doit partager des renseignements sur les menaces afin d'améliorer la capacité à identifier les organisations de hackers liées au contexte géopolitique.
Collaboration en matière de réglementation : Pour faire face à de telles menaces nationales, il est nécessaire de renforcer la collaboration internationale en matière d'application de la loi et de couper les chaînes de financement.
Quand le code est une richesse, qui écrit votre code ? C'est devenu la question centrale qui détermine la vie ou la mort des projets crypto.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Des révélations sur l'infiltration des projets de chiffrement par des hackers IT nord-coréens ! ZachXBT révèle : une équipe de 5 personnes a falsifié plus de 30 identités, et un bug de 680 000 $ pourrait être de leur fait.
Le célèbre détective off-chain ZachXBT a publié un rapport d'enquête majeur, révélant que les personnels informatiques de la République populaire démocratique de Corée (DPRK) ont infiltré en profondeur l'industrie des cryptoactifs grâce à une fraude systémique d'identification. Une équipe de cinq hackers a utilisé des documents falsifiés pour acheter des comptes premium Upwork/LinkedIn, se faisant passer pour des développeurs afin d'obtenir des accès sensibles aux projets. Une source anonyme a réussi à infiltrer leurs appareils, exposant les détails de leur fonctionnement et les portefeuilles associés, dont l'Adresse était directement liée à l'attaque de 680 000 dollars du protocole Favrr en juin 2025. Le rapport révèle leur vaste modèle opérationnel de fabrique d'identités virtuelles et les chaînes de financement, tirant la sonnette d'alarme sur la sécurité des projets crypto.
【Profondeur de l'infiltration : exposition complète de l'usine de faux identités】
【Preuve clé : l'adresse off-chain pointe vers une attaque de 680 000 dollars】
【Source de vérification : trace numérique verrouillant le contexte nord-coréen】 Malgré les doutes de la communauté sur l'origine des personnes, ZachXBT a fourni des preuves irréfutables :
【Réaction de l'industrie : vulnérabilités de sécurité et défis de défense】
【Affaire associée : l'escroquerie du "télétravail" des hackers nord-coréens】
【Conclusion : La sonnette d'alarme de la sécurité cryptographique dans la guerre des identités virtuelles】 Le rapport d'enquête de ZachXBT a révélé une fissure dans l'infiltration de l'industrie des cryptoactifs par le groupe de hackers soutenu par l'État nord-coréen. La "fabrique d'identité virtuelle" sophistiquée qu'il a construite et la chaîne de fraude à l'emploi bien rodée ne sont plus des actions isolées, mais constituent une attaque de chaîne d'approvisionnement systématique (Supply Chain Attack). Les portefeuilles associés pointent vers des événements d'attaque majeurs, prouvant que leur objectif n'est pas seulement de voler des salaires, mais aussi de préparer des actions de hacking à plus grande échelle. Cet événement sonne l'alarme de sécurité de plus haut niveau pour tous les projets de cryptoactifs :
Quand le code est une richesse, qui écrit votre code ? C'est devenu la question centrale qui détermine la vie ou la mort des projets crypto.