北朝鮮のITワーカーが30以上の偽造IDを使用して暗号資産企業を標的に：報告

北朝鮮のITワーカーの不正アクセスされたデバイスにより、68万ドルのFavrrハックの背後にいるチームの内部構造と、暗号資産プロジェクトを標的にするためのGoogleツールの使用が明らかになりました。

オンチェーン調査員のZachXBTによると、この追跡は名前を明かさない情報源がワーカーのコンピューターの1台にアクセスし、スクリーンショット、Google Driveのエクスポート、Chromeプロファイルを発見したことから始まり、工作員がどのように計画を立て実行したかの全容が明らかになりました。

ウォレットの活動とデジタル指紋の照合に基づき、ZachXBTは情報源の資料を検証し、グループの暗号資産取引を2025年6月のファントークンマーケットプレイスFavrrの攻撃に結びつけました。「0x78e1a」というウォレットアドレスは、この事件から盗まれた資金との直接的なつながりを示していました。

作戦の内部

不正アクセスされたデバイスによると、合計6人のメンバーからなる小さなチームが、少なくとも31の偽のアイデンティティを共有していました。ブロックチェーン開発の仕事を得るために、彼らは政府発行のIDや電話番号を集め、さらにLinkedInやUpworkのアカウントを購入して偽装を完成させていました。

デバイスで発見された面接スクリプトには、Polygon Labs、OpenSea、Chainlinkなどの有名なブロックチェーン企業での経験を自慢する内容が記載されていました。

Googleツールは彼らの組織的なワークフローの中心でした。脅威アクターはドライブのスプレッドシートを使用して予算とスケジュールを追跡し、Google翻訳は韓国語と英語の間の言語の壁を埋めていました。

デバイスから抽出された情報の中には、ITワーカーがコンピューターをレンタルし、VPNアクセスに支払いをして、彼らの作戦のための新しいアカウントを購入していたことを示すスプレッドシートがありました。

チームはまた、AnyDeskなどのリモートアクセスツールに依存しており、これにより彼らは真の所在地を明かすことなくクライアントシステムを制御することができました。VPNログは彼らの活動を複数の地域に結びつけ、北朝鮮のIPアドレスを隠していました。

追加の発見により、グループが異なるブロックチェーン間でトークンをデプロイする方法を調査し、ヨーロッパのAI企業を偵察し、暗号資産空間での新たな標的を計画していたことが明らかになりました。

北朝鮮の脅威アクターがリモートジョブを利用

ZachXBTは、複数のサイバーセキュリティレポートで指摘されている同じパターンを発見しました—北朝鮮のITワーカーが正当なリモートジョブを獲得して暗号資産セクターに潜入しているというものです。フリーランス開発者を装うことで、彼らはコードリポジトリ、バックエンドシステム、ウォレットインフラストラクチャへのアクセスを獲得します。

デバイスで発見された文書の一つは、潜在的な雇用主との通話中に画面上または近くに置いておくことを意図したと思われる面接メモと準備資料でした。