揭秘朝鲜IT黑客团队：30多个虚假身份渗透全球开发项目

近期，一位匿名的白帽黑客成功入侵了一名朝鲜 IT 工作者的设备，揭露了一个由五人组成的技术团队如何利用 30 多个虚假身份进行活动的内幕。这个团队不仅持有政府签发的伪造身份证件，还通过购买在线平台账号来渗透各类开发项目。

调查人员获取了该团队的云端硬盘数据、浏览器配置文件和设备截图。数据显示，这个团队高度依赖某搜索引擎公司的系列工具来协调工作日程、分配任务和管理预算，所有沟通均使用英语进行。

一份 2025 年的周报文件揭示了该黑客团队的工作模式及面临的挑战。例如，有成员曾反映"无法理解工作要求，不知道该做什么"，而对应的解决方案竟然是"用心投入，加倍努力"。

支出明细记录显示，他们的开销项目包括购买社会安全号码（SSN）、交易在线平台账号、租用电话号码、订阅 AI 服务、租赁电脑以及采购 VPN 和代理服务等。

其中一份电子表格详细记录了以虚假身份"Henry Zhang"参加会议的时间安排和话术脚本。操作流程显示，这些朝鲜 IT 工作者会先购置在线平台账号，租用电脑设备，然后通过远程控制工具完成外包工作。

他们用于收发款项的其中一个钱包地址与 2025 年 6 月发生的一起协议攻击事件存在密切链上关联。事后证实，该协议的 CTO 及其他开发人员均为持伪造证件的朝鲜 IT 工作者。通过该地址还识别出其他渗透项目的朝鲜 IT 人员。

该团队的搜索记录和浏览器历史中还发现了一些关键证据。除了上述欺诈性文件外，他们的搜索历史还显示频繁使用在线翻译工具，并使用俄罗斯 IP 将内容翻译成韩语。

目前，企业在防范朝鲜 IT 工作者方面面临的主要挑战包括：

1. 系统性协作缺失：平台服务商与私营企业之间缺乏有效的信息共享与合作机制；
2. 雇佣方失察：用人团队在收到风险警示后往往表现出防御性态度，甚至拒绝配合调查；
3. 数量优势冲击：虽然其技术手段并不复杂，但凭借庞大的求职者基数持续渗透全球就业市场；
4. 资金转换渠道：一些支付平台被频繁用于将开发工作所得法币收入兑换为加密货币。

这些发现对于业界项目进行事前安全布防具有一定的积极意义，为我们提供了从主动视角了解朝鲜黑客"工作"方法的机会。