朝鲜黑客行动如何在全球平台维持30多个假身份

近期对被攻破的朝鲜IT工人设备的调查揭示了一支由五人组成的高端技术团队的操作蓝图，该团队管理着庞大的虚假在线身份网络。这些由著名链上侦探ZachXBT分享的发现，提供了前所未有的洞察，揭示了这些行为者如何系统性地渗透加密货币开发项目和全球科技公司。

大规模身份欺诈背后的基础设施

该团队的运营模式依赖于购买现有账户和部署远程访问工具。他们的获取策略包括购买Upwork和LinkedIn的个人资料、获取假社会安全号码(SSNs)，以及租用电话号码和计算机设备。一旦装备完毕，他们便利用AnyDesk远程桌面软件，在多个平台上同时完成外包开发工作。

从他们系统中恢复的支出记录显示出一个复杂的供应链：像Payoneer这样的加密货币支付处理商将法币收入转换为数字资产，而订阅AI服务和反向VPN/代理服务则掩盖了他们的真实地理位置和操作足迹。这种层层叠加的方法使他们即使在多次曝光尝试后，仍能持续访问全球劳动力市场。

操作流程与内部挑战

Google Drive文档和Chrome浏览器配置文件暴露了内部工作流程，内容令人惊讶的平凡。每周的绩效报告详细列出任务分配、预算分配和故障排除笔记。一份条目记录了团队成员的挫败感：“不理解工作要求，不知道该做什么”，而主管的回应仅仅是“全心投入，努力工作”。

详细的时间表显示，“Henry Zhang”等虚假身份在项目中被部署，配有预设的会议协议。这种制度化管理，尽管成员分散在不同地区，却显示出集中管理的迹象——这是最终导致他们被发现的关键漏洞。

财务线索与身份确认

一个关键的钱包地址(0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c)，与2025年6月发生的价值68万美元的Favrr协议攻击相关联，为首次重大突破提供了线索。受害者的被攻破的CTO和开发者后来被确认是使用伪造身份操作的朝鲜IT工人。该地址成为连接团队与行业内多起渗透事件的重要标识。

语言证据同样令人震惊。搜索历史显示频繁依赖Google Translate，韩语翻译通过俄罗斯IP地址处理——一种反向地理位置识别模式，与声称的工人所在地不符。

企业防御面临的挑战不断上升

此次调查凸显了当前安全架构中的系统性漏洞：

平台协调缺口：服务提供商和私营企业缺乏正式的情报共享机制，导致同一虚假身份在多个平台间反复流转而未被发现。

被动招聘策略：目标公司在收到风险警告时往往采取防御措施，更关注运营连续性而非安全调查合作。

数字规模优势：虽然个别技术水平尚属中等，但渗透尝试的数量庞大——利用庞大的人才库，压倒了传统筛查流程。

加密货币支付转换：通过便捷的平台将法币收入转换为数字资产，消除了传统银行的阻碍，这些阻碍曾经让外国操作人员难以隐藏身份。

这些操作漏洞的存在，并非因为高超的技术手段，而是因为检测需要跨平台的主动合作，而目前在加密货币和科技行业中，这种合作尚未大规模实现。