Một hoạt động mạng tinh vi đang âm thầm xâm nhập vào các công việc công nghệ từ xa trên toàn thế giới.
Điều tra viên Blockchain ZachXBT đã phát hiện ra một rò rỉ lớn từ thiết bị của một nhân viên CNTT của CHDCND Triều Tiên cho thấy một nhóm nhỏ gồm năm người đang quản lý hơn 30 danh tính giả mạo, với ID chính phủ và tài khoản Upwork/LinkedIn đã mua để có được công việc nhà phát triển tại các dự án. Họ cũng tuyên bố kinh nghiệm tại các công ty blockchain hàng đầu như Polygon Labs, OpenSea và Chainlink.
Bên trong hoạt động công việc từ xa của CHDCND Triều Tiên
Các bảng tính tiết lộ cách nhân viên CNTT của CHDCND Triều Tiên hoạt động, bao gồm báo cáo hàng tuần, theo dõi chi phí và lịch họp, và bao gồm một tập lệnh được sử dụng cho danh tính giả “Henry Zhang.” Chi phí của họ cho thấy việc mua SSN, tài khoản Upwork và LinkedIn, số điện thoại, công cụ AI, máy tính thuê và VPN hoặc proxy.
Các tệp Google Drive, hồ sơ Chrome và ảnh chụp màn hình thiết bị bị rò rỉ cho thấy họ quản lý lịch trình, nhiệm vụ và ngân sách chủ yếu bằng tiếng Anh. Các cuộc trò chuyện trên Telegram cho thấy cách họ phối hợp để có được việc làm, xử lý thanh toán và định tuyến tiền lương thông qua ví tiền điện tử.
Một trong những dấu hiệu chính chỉ ra Triều Tiên là việc họ sử dụng Google Dịch sang tiếng Hàn trong quá trình tìm kiếm, đôi khi được định tuyến qua địa chỉ IP của Nga.
Ví được liên kết với việc khai thác Favrr trị giá 680 nghìn đô la
Đáng chú ý, một ví được liên kết với nhiều khoản thanh toán và khai thác Favrr 680 nghìn đô la vào tháng 6 năm 2025, nơi các ITW của DPRK đóng vai trò là CTO và các nhà phát triển sử dụng các tài liệu giả mạo. Các nhà điều hành bổ sung đã được kết nối với các dự án khác thông qua cùng một địa chỉ ví này.
11/ The Favrr CTO Alex Hong has a background which appears suspicious and is likely one of the two DPRK ITWs hired.
His LinkedIn was very recently deleted.
I also reached out to a project he supposedly worked at but could not verify his work history. pic.twitter.com/aIKb3f63BO
— ZachXBT (@zachxbt) June 27, 2025
Nhân viên CNTT của CHDCND Triều Tiên tràn ngập các công việc từ xa
ZachXBT chỉ ra rằng thách thức lớn nhất trong việc ngăn chặn nhân viên CNTT của CHDCND Triều Tiên là sự phối hợp kém giữa các công ty và dịch vụ bảo mật, cùng với các nhóm tuyển dụng thường phớt lờ hoặc chống lại các cảnh báo.
Những nhân viên CNTT này không đặc biệt tinh vi, nhưng họ kiên trì, tràn ngập thị trường việc làm toàn cầu cho các vai trò nhà phát triển từ xa và thường sử dụng Payoneer để chuyển đổi các khoản thanh toán thường xuyên thành tiền điện tử.
Mạng lưới tội phạm tiền điện tử của Bắc Triều Tiên
Các hoạt động trộm cắp mạng của Triều Tiên đang lớn và ngày càng tăng. Vào tháng 1, các đặc vụ đã đánh cắp 2,2 triệu đô la và vào tháng 6, các nhà chức trách đã thu giữ hơn 7,7 triệu đô la liên quan đến các chương trình làm việc từ xa giả mạo.
Các tin tặc Triều Tiên đang lừa mọi người bằng các lời mời làm việc CNTT giả mạo để truy cập các hệ thống đám mây và đánh cắp tiền điện tử. Kể từ năm 2020, các chiến dịch này đã nhắm mục tiêu vào các nền tảng tiền điện tử lớn, góp phần vào các vụ trộm lớn như vi phạm 620 triệu đô la của Axie Infinity, vụ hack 305 triệu đô la của DMM Bitcoin và vụ cướp 1,5 tỷ đô la của Bybit.
Các chuyên gia ước tính rằng Triều Tiên đã đánh cắp 1,6 tỷ đô la tiền điện tử cho đến nay vào năm 2025, chiếm 35% tổng số tiền điện tử bị đánh cắp vào năm ngoái và họ không có dấu hiệu chậm lại.
Đăng ký ngay: BingX – Nền tảng giao dịch tiền mã hóa hàng đầu.
