Le célèbre détective on-chain ZachXBT a cité l'enquête d'un hacker éthique, révélant comment une équipe de cinq hackers nord-coréens manipule de fausses identités pour infiltrer des projets de développement. Cet article analyse en profondeur leurs modes de fonctionnement, les détails des dépenses et les flux de financement, fournissant des perspectives clés pour prévenir de telles menaces. Cet article est basé sur un article écrit par ZachXBT, compilé, traduit et rédigé par Azuma, Odaily Odaily. (Résumé : Microsoft s'associe au FBI pour lutter contre la fraude des hackers nord-coréens ! Gel de 3 000 comptes, capture d'un "complice" américain) (Contexte : BitoPro piraté, enquête sur le groupe nord-coréen Lazarus ! Une attaque d'ingénierie sociale aurait volé 11,5 millions de dollars) Les hackers nord-coréens ont toujours été une grande menace pour le marché des cryptoactifs. Par le passé, les victimes et les professionnels de la sécurité ont dû déduire les comportements des hackers nord-coréens en analysant les incidents de sécurité connexes, mais hier, le célèbre détective on-chain ZachXBT a cité dans son dernier tweet une analyse d'enquête d'un hacker éthique qui a contre-attaqué les hackers nord-coréens, révélant pour la première fois de manière proactive les méthodes de "travail" des hackers nord-coréens, ce qui pourrait avoir une certaine signification proactive pour la prévention de la sécurité des projets dans l'industrie. Voici le texte complet de ZachXBT, traduit par Odaily. Un hacker anonyme, dont le nom n'a pas été divulgué, a récemment piraté l'équipement d'un travailleur informatique nord-coréen, révélant ainsi comment une équipe technique de cinq personnes manipule plus de 30 fausses identités pour mener ses activités. Cette équipe ne se contente pas de posséder de faux documents d'identité émis par le gouvernement, mais infiltre également divers projets de développement en achetant des comptes sur Upwork/LinkedIn. Les enquêteurs ont obtenu des données de leur Google Drive, des profils de navigateur Chrome et des captures d'écran des appareils. Les données montrent que cette équipe dépend fortement des outils de la suite Google pour coordonner les emplois du temps, la répartition des tâches et la gestion des budgets, toutes les communications étant en anglais. Un document hebdomadaire de 2025 révèle les modes de fonctionnement de cette équipe de hackers et les difficultés rencontrées, comme le fait qu'un membre a exprimé sa frustration en disant "je ne comprends pas les exigences de travail, je ne sais pas quoi faire", tandis que la colonne des solutions correspondantes indiquait "impliquer sérieusement, redoubler d'efforts"... Les détails des dépenses montrent que leurs dépenses comprennent l'achat de numéros de sécurité sociale (SSN), des transactions de comptes Upwork, LinkedIn, la location de numéros de téléphone, des souscriptions à des services d'IA, la location d'ordinateurs et l'achat de services VPN/proxy, etc. Un tableur détaille les horaires et le script de conversation pour participer à des réunions sous la fausse identité "Henry Zhang". Le processus opérationnel montre que ces travailleurs informatiques nord-coréens achètent d'abord des comptes Upwork et LinkedIn, louent des équipements informatiques, puis utilisent des outils de contrôle à distance comme AnyDesk pour accomplir le travail externalisé. L'une de leurs adresses de portefeuille utilisées pour les transactions est : 0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c ; cette adresse a un lien on-chain étroit avec l'incident d'attaque du protocole Favrr de 680 000 dollars survenu en juin 2025, confirmant par la suite que leur directeur technique et d'autres développeurs étaient des travailleurs informatiques nord-coréens portant de faux documents. D'autres membres du personnel informatique nord-coréen impliqués dans d'autres projets d'infiltration ont également été identifiés via cette adresse. Des preuves clés ont également été trouvées dans les historiques de recherche et de navigation de cette équipe. Certains pourraient se demander "comment confirmer qu'ils viennent de Corée du Nord" ? En plus de tous les documents frauduleux détaillés ci-dessus, leurs historiques de recherche montrent qu'ils utilisent fréquemment Google Translate et traduisent en coréen à partir d'adresses IP russes. Actuellement, les principaux défis des entreprises pour prévenir les travailleurs informatiques nord-coréens se concentrent sur les aspects suivants : Manque de collaboration systématique : il existe un manque de mécanismes de partage d'informations et de collaboration efficaces entre les fournisseurs de services de plateforme et les entreprises privées ; Surveillance déficiente des employeurs : les équipes de recrutement ont souvent une attitude défensive après avoir reçu des alertes de risque, et même refusent de coopérer à l'enquête ; Impact de la supériorité numérique : bien que leurs moyens techniques ne soient pas complexes, ils infiltrent continuellement le marché de l'emploi mondial grâce à un vaste vivier de demandeurs d'emploi ; Canaux de conversion des fonds : des plateformes de paiement comme Payoneer sont fréquemment utilisées pour échanger les revenus en fiat des travaux de développement contre des cryptoactifs ; J'ai déjà introduit plusieurs indicateurs à surveiller, ceux qui sont intéressés peuvent consulter mes tweets historiques, je ne vais pas les répéter ici. Rapport connexe Avertissement de Google Cloud : les attaques d'espionnage informatique nord-coréennes se propagent, les entreprises mondiales doivent rester vigilantes Pourquoi les hackers nord-coréens de Lazarus sont-ils si puissants ? Ils ont violé les réseaux de sécurité de grandes entreprises, et Lazarus est devenu la machine à sous de Kim Jong-un pour le développement d'armes nucléaires. Les réserves de Bitcoin de la Corée du Nord ont augmenté de 13 000 unités, devenant ainsi le troisième pays détenteur, juste derrière les États-Unis et le Royaume-Uni, comment les hackers de Lazarus impactent-ils la course aux armements cryptographiques mondiale ? <Texte complet de ZachXBT : après avoir contre-attaqué le matériel des hackers nord-coréens, j'ai compris leur mode de "travail"> Cet article a été initialement publié sur BlockTempo "BlockTempo - Le média d'information en blockchain le plus influent."
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Texte complet de ZachXBT : Après avoir piraté les dispositifs des hackers nord-coréens, j'ai compris leur mode de "travail".
Le célèbre détective on-chain ZachXBT a cité l'enquête d'un hacker éthique, révélant comment une équipe de cinq hackers nord-coréens manipule de fausses identités pour infiltrer des projets de développement. Cet article analyse en profondeur leurs modes de fonctionnement, les détails des dépenses et les flux de financement, fournissant des perspectives clés pour prévenir de telles menaces. Cet article est basé sur un article écrit par ZachXBT, compilé, traduit et rédigé par Azuma, Odaily Odaily. (Résumé : Microsoft s'associe au FBI pour lutter contre la fraude des hackers nord-coréens ! Gel de 3 000 comptes, capture d'un "complice" américain) (Contexte : BitoPro piraté, enquête sur le groupe nord-coréen Lazarus ! Une attaque d'ingénierie sociale aurait volé 11,5 millions de dollars) Les hackers nord-coréens ont toujours été une grande menace pour le marché des cryptoactifs. Par le passé, les victimes et les professionnels de la sécurité ont dû déduire les comportements des hackers nord-coréens en analysant les incidents de sécurité connexes, mais hier, le célèbre détective on-chain ZachXBT a cité dans son dernier tweet une analyse d'enquête d'un hacker éthique qui a contre-attaqué les hackers nord-coréens, révélant pour la première fois de manière proactive les méthodes de "travail" des hackers nord-coréens, ce qui pourrait avoir une certaine signification proactive pour la prévention de la sécurité des projets dans l'industrie. Voici le texte complet de ZachXBT, traduit par Odaily. Un hacker anonyme, dont le nom n'a pas été divulgué, a récemment piraté l'équipement d'un travailleur informatique nord-coréen, révélant ainsi comment une équipe technique de cinq personnes manipule plus de 30 fausses identités pour mener ses activités. Cette équipe ne se contente pas de posséder de faux documents d'identité émis par le gouvernement, mais infiltre également divers projets de développement en achetant des comptes sur Upwork/LinkedIn. Les enquêteurs ont obtenu des données de leur Google Drive, des profils de navigateur Chrome et des captures d'écran des appareils. Les données montrent que cette équipe dépend fortement des outils de la suite Google pour coordonner les emplois du temps, la répartition des tâches et la gestion des budgets, toutes les communications étant en anglais. Un document hebdomadaire de 2025 révèle les modes de fonctionnement de cette équipe de hackers et les difficultés rencontrées, comme le fait qu'un membre a exprimé sa frustration en disant "je ne comprends pas les exigences de travail, je ne sais pas quoi faire", tandis que la colonne des solutions correspondantes indiquait "impliquer sérieusement, redoubler d'efforts"... Les détails des dépenses montrent que leurs dépenses comprennent l'achat de numéros de sécurité sociale (SSN), des transactions de comptes Upwork, LinkedIn, la location de numéros de téléphone, des souscriptions à des services d'IA, la location d'ordinateurs et l'achat de services VPN/proxy, etc. Un tableur détaille les horaires et le script de conversation pour participer à des réunions sous la fausse identité "Henry Zhang". Le processus opérationnel montre que ces travailleurs informatiques nord-coréens achètent d'abord des comptes Upwork et LinkedIn, louent des équipements informatiques, puis utilisent des outils de contrôle à distance comme AnyDesk pour accomplir le travail externalisé. L'une de leurs adresses de portefeuille utilisées pour les transactions est : 0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c ; cette adresse a un lien on-chain étroit avec l'incident d'attaque du protocole Favrr de 680 000 dollars survenu en juin 2025, confirmant par la suite que leur directeur technique et d'autres développeurs étaient des travailleurs informatiques nord-coréens portant de faux documents. D'autres membres du personnel informatique nord-coréen impliqués dans d'autres projets d'infiltration ont également été identifiés via cette adresse. Des preuves clés ont également été trouvées dans les historiques de recherche et de navigation de cette équipe. Certains pourraient se demander "comment confirmer qu'ils viennent de Corée du Nord" ? En plus de tous les documents frauduleux détaillés ci-dessus, leurs historiques de recherche montrent qu'ils utilisent fréquemment Google Translate et traduisent en coréen à partir d'adresses IP russes. Actuellement, les principaux défis des entreprises pour prévenir les travailleurs informatiques nord-coréens se concentrent sur les aspects suivants : Manque de collaboration systématique : il existe un manque de mécanismes de partage d'informations et de collaboration efficaces entre les fournisseurs de services de plateforme et les entreprises privées ; Surveillance déficiente des employeurs : les équipes de recrutement ont souvent une attitude défensive après avoir reçu des alertes de risque, et même refusent de coopérer à l'enquête ; Impact de la supériorité numérique : bien que leurs moyens techniques ne soient pas complexes, ils infiltrent continuellement le marché de l'emploi mondial grâce à un vaste vivier de demandeurs d'emploi ; Canaux de conversion des fonds : des plateformes de paiement comme Payoneer sont fréquemment utilisées pour échanger les revenus en fiat des travaux de développement contre des cryptoactifs ; J'ai déjà introduit plusieurs indicateurs à surveiller, ceux qui sont intéressés peuvent consulter mes tweets historiques, je ne vais pas les répéter ici. Rapport connexe Avertissement de Google Cloud : les attaques d'espionnage informatique nord-coréennes se propagent, les entreprises mondiales doivent rester vigilantes Pourquoi les hackers nord-coréens de Lazarus sont-ils si puissants ? Ils ont violé les réseaux de sécurité de grandes entreprises, et Lazarus est devenu la machine à sous de Kim Jong-un pour le développement d'armes nucléaires. Les réserves de Bitcoin de la Corée du Nord ont augmenté de 13 000 unités, devenant ainsi le troisième pays détenteur, juste derrière les États-Unis et le Royaume-Uni, comment les hackers de Lazarus impactent-ils la course aux armements cryptographiques mondiale ? <Texte complet de ZachXBT : après avoir contre-attaqué le matériel des hackers nord-coréens, j'ai compris leur mode de "travail"> Cet article a été initialement publié sur BlockTempo "BlockTempo - Le média d'information en blockchain le plus influent."