Les enquêtes du célèbre détective blockchain ZachXBT ont révélé une vaste infiltration nord-coréenne sur le marché mondial des emplois dans le développement de cryptomonnaies.
Une source non nommée a récemment compromis un appareil appartenant à un travailleur informatique de la RPDC et a fourni un aperçu sans précédent sur la manière dont une petite équipe de cinq travailleurs informatiques a opéré avec plus de 30 fausses identités.
Les opérateurs de la RPDC inondent le marché de l'emploi en crypto
Selon les tweets de ZachXBT, l'équipe de la RPDC aurait utilisé des identités émises par le gouvernement pour enregistrer des comptes sur Upwork et LinkedIn, afin d'obtenir des rôles de développeur sur plusieurs projets. Les enquêteurs ont trouvé une exportation des Google Drive des travailleurs, des profils Chrome et des captures d'écran, qui ont révélé que les produits Google étaient centraux pour l'organisation des horaires, des tâches et des budgets, les communications étant principalement effectuées en anglais.
Parmi les documents se trouve un tableau Excel de 2025 contenant des rapports hebdomadaires des membres de l'équipe, qui éclairent leurs opérations internes et leur état d'esprit. Les entrées typiques comprenaient des déclarations telles que « Je ne comprends pas les exigences du poste et je ne sais pas ce que je dois faire », avec des notes autodirigées comme « Solution / correction : Mettre suffisamment d'efforts de tout cœur. »
Une autre feuille de calcul suit les dépenses, montrant les achats de numéros de sécurité sociale, de comptes Upwork et LinkedIn, de numéros de téléphone, d'abonnements à l'IA, de locations d'ordinateurs, et de services VPN ou proxy. Des plannings de réunions et des scripts pour de fausses identités, y compris un sous le nom "Henry Zhang", ont également été récupérés.
Les méthodes opérationnelles de l'équipe impliquaient apparemment l'achat ou la location d'ordinateurs, l'utilisation d'AnyDesk pour effectuer du travail à distance, et la conversion de la monnaie fiduciaire gagnée en cryptomonnaie via Payoneer. Une adresse de portefeuille, 0x78e1, associée au groupe est liée en chaîne à un exploit de 680 000 $ sur Favrr en juin 2025, où le CTO du projet et d'autres développeurs ont ensuite été identifiés comme des travailleurs informatiques de la RPDC utilisant des documents frauduleux. D'autres travailleurs liés à la RPDC ont été connectés à des projets via l'adresse 0x78e1.
Les indicateurs de leur origine nord-coréenne incluent l'utilisation fréquente de Google Translate pour les recherches en langue coréenne effectuées depuis des adresses IP russes. ZachXBT a déclaré que ces travailleurs de l'informatique ne sont pas particulièrement sophistiqués, mais leur persistance est renforcée par le nombre considérable de rôles qu'ils ciblent à travers le monde.
Les défis pour contrer ces opérations incluent une mauvaise collaboration entre les entreprises privées et les services, ainsi qu'une résistance des équipes lorsque des activités frauduleuses sont signalées.
La menace persistante de la Corée du Nord
Les hackers nord-coréens, notamment le groupe Lazarus, continuent de représenter une menace significative pour l'industrie. En février 2025, le groupe a orchestré le plus grand piratage d'échange de crypto-monnaies de l'histoire, ayant volé environ 1,5 milliard de dollars en Ethereum à Bybit, basé à Dubaï.
L'attaque a exploité des vulnérabilités chez un fournisseur de portefeuille tiers, Safe{Wallet}, ce qui a permis aux hackers de contourner les mesures de sécurité multi-signatures et de siphonner des fonds vers plusieurs portefeuilles. Le FBI a attribué la violation à des agents nord-coréens, la qualifiant de "TraderTraitor".
Par la suite, en juillet 2025, CoinDCX, une plateforme d'échange de cryptomonnaies indienne, a été victime d'un vol de 44 millions de dollars, qui était également lié au groupe Lazarus. Les attaquants ont infiltré l'infrastructure de liquidité de CoinDCX, en exploitant des identifiants internes exposés pour exécuter le vol.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
2 J'aime
Récompense
2
2
Reposter
Partager
Commentaire
0/400
Fllii
· Il y a 15h
Ce n'est pas juste une fille, elle est décentralisée.
Google Docs, Upwork et LinkedIn : À l'intérieur des opérations secrètes de Crypto des travailleurs informatiques nord-coréens
Les enquêtes du célèbre détective blockchain ZachXBT ont révélé une vaste infiltration nord-coréenne sur le marché mondial des emplois dans le développement de cryptomonnaies.
Une source non nommée a récemment compromis un appareil appartenant à un travailleur informatique de la RPDC et a fourni un aperçu sans précédent sur la manière dont une petite équipe de cinq travailleurs informatiques a opéré avec plus de 30 fausses identités.
Les opérateurs de la RPDC inondent le marché de l'emploi en crypto
Selon les tweets de ZachXBT, l'équipe de la RPDC aurait utilisé des identités émises par le gouvernement pour enregistrer des comptes sur Upwork et LinkedIn, afin d'obtenir des rôles de développeur sur plusieurs projets. Les enquêteurs ont trouvé une exportation des Google Drive des travailleurs, des profils Chrome et des captures d'écran, qui ont révélé que les produits Google étaient centraux pour l'organisation des horaires, des tâches et des budgets, les communications étant principalement effectuées en anglais.
Parmi les documents se trouve un tableau Excel de 2025 contenant des rapports hebdomadaires des membres de l'équipe, qui éclairent leurs opérations internes et leur état d'esprit. Les entrées typiques comprenaient des déclarations telles que « Je ne comprends pas les exigences du poste et je ne sais pas ce que je dois faire », avec des notes autodirigées comme « Solution / correction : Mettre suffisamment d'efforts de tout cœur. »
Une autre feuille de calcul suit les dépenses, montrant les achats de numéros de sécurité sociale, de comptes Upwork et LinkedIn, de numéros de téléphone, d'abonnements à l'IA, de locations d'ordinateurs, et de services VPN ou proxy. Des plannings de réunions et des scripts pour de fausses identités, y compris un sous le nom "Henry Zhang", ont également été récupérés.
Les méthodes opérationnelles de l'équipe impliquaient apparemment l'achat ou la location d'ordinateurs, l'utilisation d'AnyDesk pour effectuer du travail à distance, et la conversion de la monnaie fiduciaire gagnée en cryptomonnaie via Payoneer. Une adresse de portefeuille, 0x78e1, associée au groupe est liée en chaîne à un exploit de 680 000 $ sur Favrr en juin 2025, où le CTO du projet et d'autres développeurs ont ensuite été identifiés comme des travailleurs informatiques de la RPDC utilisant des documents frauduleux. D'autres travailleurs liés à la RPDC ont été connectés à des projets via l'adresse 0x78e1.
Les indicateurs de leur origine nord-coréenne incluent l'utilisation fréquente de Google Translate pour les recherches en langue coréenne effectuées depuis des adresses IP russes. ZachXBT a déclaré que ces travailleurs de l'informatique ne sont pas particulièrement sophistiqués, mais leur persistance est renforcée par le nombre considérable de rôles qu'ils ciblent à travers le monde.
Les défis pour contrer ces opérations incluent une mauvaise collaboration entre les entreprises privées et les services, ainsi qu'une résistance des équipes lorsque des activités frauduleuses sont signalées.
La menace persistante de la Corée du Nord
Les hackers nord-coréens, notamment le groupe Lazarus, continuent de représenter une menace significative pour l'industrie. En février 2025, le groupe a orchestré le plus grand piratage d'échange de crypto-monnaies de l'histoire, ayant volé environ 1,5 milliard de dollars en Ethereum à Bybit, basé à Dubaï.
L'attaque a exploité des vulnérabilités chez un fournisseur de portefeuille tiers, Safe{Wallet}, ce qui a permis aux hackers de contourner les mesures de sécurité multi-signatures et de siphonner des fonds vers plusieurs portefeuilles. Le FBI a attribué la violation à des agents nord-coréens, la qualifiant de "TraderTraitor".
Par la suite, en juillet 2025, CoinDCX, une plateforme d'échange de cryptomonnaies indienne, a été victime d'un vol de 44 millions de dollars, qui était également lié au groupe Lazarus. Les attaquants ont infiltré l'infrastructure de liquidité de CoinDCX, en exploitant des identifiants internes exposés pour exécuter le vol.