鏈上偵探 ZachXBT 近日在 X 平台發文披露,他取得了一份匿名消息來源入侵北韓 IT 勞工設備後獲得的資料,揭露一個由 5 人組成的朝鮮團隊如何透過假身份滲透國際開發者市場,並涉及今年 6 月發生的 68 萬美元 Favrr 漏洞事件。
根據 ZachXBT 公布的 資訊 ,這組北韓 IT 勞工團隊掌握超過 30 個假身份,甚至持有政府簽發的身份證件,並購買 Upwork 與 LinkedIn 帳號取得遠程開發工作。他們的 Google Drive、Chrome 個人資料與設備截圖顯示,團隊皆透過 Google 工具安排日程、分配任務與管理預算,交流語言主要為英語。
2025 年的內部每週報告文件進一步揭示團隊的運作狀況,內容甚至包括成員自述「無法理解工作需求」並自勉「要全心投入」。支出紀錄則顯示,他們購買了美國社會安全號(SSN)、電話號碼、AI 訂閱服務、電腦租賃與 VPN / 代理服務等,以支援假身份運作。
ZachXBT 指出,該團隊會先購買或租用電腦,再透過 AnyDesk 遠端操作完成工作。此外,他們使用的其中一個加密錢包地址 0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c,還與 2025 年 6 月 Favrr 平台的 68 萬美元漏洞案高度相關,該事件中的 CTO 與多名開發人員都被證實為持虛假文件的北韓IT 勞工。
此外,該地址還牽連出更多參與其他專案的北韓IT 勞工,瀏覽紀錄亦顯示,他們頻繁使用 Google 翻譯將內容翻譯成韓文,並透過俄羅斯 IP 存取網路,進一步佐證其身份背景。
ZachXBT 認為,打擊北韓 IT 勞工的挑戰之一,是服務商與私營部門之間缺乏協作,加上部分聘用單位在接獲警告後態度消極甚至反彈。他指出,這些IT 勞工的技術並不特別高超,但因人數龐大且滲透全球開發者市場,仍具備高度威脅性。值得注意的是,他們還經常使用 Payoneer 將法幣收入兌換成加密貨幣。
