Google Docs、Upwork、LinkedIn: 北朝鮮のIT労働者の秘密の暗号操作の内部

人気のブロックチェーン探偵ZachXBTによる調査で、北朝鮮のグローバルな暗号通貨開発職市場への広範な侵入が明らかになりました。

最近、名前のない情報源がDPRKのIT作業員のデバイスを侵害し、5人のIT作業員が30以上の偽の身分をどのように操作しているかについて前例のない洞察を提供しました。

北朝鮮の工作員が暗号雇用市場に殺到

ZachXBTのツイートによると、DPRKチームは政府発行のIDを使用してUpworkやLinkedInにアカウントを登録し、複数のプロジェクトで開発者の役割を取得したと報じられています。調査官たちは、労働者のGoogle Drive、Chromeプロファイル、スクリーンショットのエクスポートを発見しました。これにより、Google製品がスケジュール、タスク、予算を整理する上で中心的な役割を果たしており、コミュニケーションは主に英語で行われていることが明らかになりました。

文書の中には、チームメンバーからの週次報告を含む2025年のスプレッドシートがあり、彼らの内部運営やマインドセットについての洞察を提供しています。典型的な記録には、「仕事の要件が理解できず、何をすべきかわからない」といった声明や、「解決策/修正: 心に十分な努力を入れる」といった自己指向のメモが含まれていました。

別のスプレッドシートは経費を追跡しており、社会保障番号、UpworkやLinkedInのアカウント、電話番号、AIサブスクリプション、コンピュータのレンタル、VPNやプロキシサービスの購入を示しています。「ヘンリー・ジャン」という名前の偽の身分のための会議スケジュールやスクリプトも回収されました。

チームの運営方法には、コンピュータの購入またはレンタル、AnyDeskを使用してリモートで作業を行い、得た法定通貨をPayoneerを介して暗号通貨に変換することが含まれていたと報告されている。グループに関連する1つのウォレットアドレス、0x78e1は、2025年6月にFavrrでの$680,000の悪用にオンチェーンでリンクされており、そのプロジェクトのCTOや他の開発者は後に詐欺的な書類を使用しているDPRKのIT作業者として特定された。追加のDPRK関連の作業者は、0x78e1アドレスを介してプロジェクトに接続されていた。

彼らの北朝鮮の起源を示す指標には、ロシアのIPアドレスから行われる韓国語検索に対するGoogle翻訳の頻繁な使用が含まれます。ZachXBTは、これらのIT労働者が特に洗練されているわけではないが、彼らの執着は世界中でターゲットにしている役割の数の多さによって強化されていると述べました。

これらの操作に対抗する際の課題には、民間企業とサービス間の協力が不十分であること、ならびに詐欺行為が報告された際のチームの抵抗が含まれます。

北朝鮮の執拗な脅威

北朝鮮のハッカー、特にラザルスグループは、業界に対して依然として重要な脅威をもたらしています。2025年2月、このグループは歴史上最大の暗号交換ハッキングを計画し、ドバイに本拠を置くバイビットから約15億ドル相当のイーサリアムを盗みました。

この攻撃は、第三者のウォレットプロバイダーであるSafe{Wallet}の脆弱性を悪用し、ハッカーがマルチシグネチャのセキュリティ対策を回避し、資金を複数のウォレットに siphon することを可能にしました。FBIは、この侵害を北朝鮮の工作員に帰属させ、「TraderTraitor」と名付けました。

その後、2025年7月に、インドの暗号通貨取引所CoinDCXが4400万ドルの強盗事件に遭い、これはLazarus Groupに関連していました。攻撃者はCoinDCXの流動性インフラに侵入し、露出した内部認証情報を利用して盗みを実行しました。