揭祕朝鮮IT黑客團隊：30多個虛假身分滲透全球開發項目

近期，一位匿名的白帽黑客成功入侵了一名朝鮮 IT 工作者的設備，揭露了一個由五人組成的技術團隊如何利用 30 多個虛假身分進行活動的內幕。這個團隊不僅持有政府籤發的僞造身分證件，還通過購買在線平台帳號來滲透各類開發項目。

調查人員獲取了該團隊的雲端硬盤數據、瀏覽器配置文件和設備截圖。數據顯示，這個團隊高度依賴某搜索引擎公司的系列工具來協調工作日程、分配任務和管理預算，所有溝通均使用英語進行。

一份 2025 年的週報文件揭示了該黑客團隊的工作模式及面臨的挑戰。例如，有成員曾反映"無法理解工作要求，不知道該做什麼"，而對應的解決方案竟然是"用心投入，加倍努力"。

支出明細記錄顯示，他們的開銷項目包括購買社會安全號碼（SSN）、交易在線平台帳號、租用電話號碼、訂閱 AI 服務、租賃電腦以及採購 VPN 和代理服務等。

其中一份電子表格詳細記錄了以虛假身分"Henry Zhang"參加會議的時間安排和話術腳本。操作流程顯示，這些朝鮮 IT 工作者會先購置在線平台帳號，租用電腦設備，然後通過遠程控制工具完成外包工作。

他們用於收發款項的其中一個錢包地址與 2025 年 6 月發生的一起協議攻擊事件存在密切鏈上關聯。事後證實，該協議的 CTO 及其他開發人員均爲持僞造證件的朝鮮 IT 工作者。通過該地址還識別出其他滲透項目的朝鮮 IT 人員。

該團隊的搜索記錄和瀏覽器歷史中還發現了一些關鍵證據。除了上述欺詐性文件外，他們的搜索歷史還顯示頻繁使用在線翻譯工具，並使用俄羅斯 IP 將內容翻譯成韓語。

目前，企業在防範朝鮮 IT 工作者方面面臨的主要挑戰包括：

1. 系統性協作缺失：平台服務商與私營企業之間缺乏有效的信息共享與合作機制；
2. 僱傭方失察：用人團隊在收到風險警示後往往表現出防御性態度，甚至拒絕配合調查；
3. 數量優勢衝擊：雖然其技術手段並不復雜，但憑藉龐大的求職者基數持續滲透全球就業市場；
4. 資金轉換渠道：一些支付平台被頻繁用於將開發工作所得法幣收入兌換爲加密貨幣。

這些發現對於業界項目進行事前安全布防具有一定的積極意義，爲我們提供了從主動視角了解朝鮮黑客"工作"方法的機會。