ZachXBT, một thám tử on-chain nổi tiếng, trích dẫn một cuộc điều tra của tin tặc mũ trắng để khám phá cách một nhóm gồm năm tin tặc Triều Tiên thao túng danh tính giả mạo để xâm nhập vào các dự án phát triển. Bài viết này cung cấp cái nhìn sâu sắc về mô hình làm việc, phân tích chi tiêu và dòng tài trợ của họ để cung cấp thông tin chi tiết chính chống lại các mối đe dọa như vậy. Bài viết này dựa trên một bài báo được viết bởi ZachXBT và được biên soạn, biên soạn và đóng góp bởi Azuma, Odaily. (Tóm tắt nội dung: Microsoft đã hợp tác với FBI để trấn áp tin tặc của Triều Tiên!) Đóng băng 3.000 tài khoản và bắt giữ "đồng phạm di cư") (Bổ sung cơ bản: BitoPro bị tấn công và bị điều tra là Lazarus của Triều Tiên!) Cuộc tấn công kỹ thuật xã hội đánh cắp 11,5 triệu đô la Tin tặc Bắc Triều Tiên là một mối đe dọa lớn đối với thị trường tiền điện tử. Trong những năm trước, nạn nhân và nhân viên an ninh trong ngành chỉ có thể suy đoán về các mô hình hành vi của tin tặc Triều Tiên thông qua hướng ngược lại của từng sự cố an ninh liên quan, nhưng hôm qua, ZachXBT, một thám tử on-chain nổi tiếng, đã trích dẫn một hacker mũ trắng trong tweet mới nhất của mình để phản đối cuộc điều tra và phân tích tin tặc Triều Tiên, lần đầu tiên tiết lộ phương pháp "hoạt động" của hacker Triều Tiên từ góc độ tích cực, hoặc thực hiện triển khai tiền bảo mật của các dự án trong ngành có ý nghĩa tích cực nhất định. Sau đây là toàn văn của ZachXBT, được biên soạn bởi Odaily Planet. Một tin tặc ẩn danh, giấu tên gần đây đã xâm nhập vào thiết bị của một nhân viên CNTT Triều Tiên, phơi bày câu chuyện bên trong về cách một nhóm công nghệ gồm 5 người thao túng hơn 30 danh tính giả để thực hiện các hoạt động của họ. Nhóm không chỉ giữ ID giả do chính phủ cấp mà còn thâm nhập vào các dự án phát triển khác nhau bằng cách mua tài khoản Upwork/LinkedIn. Các nhà điều tra đã thu thập dữ liệu Google Drive, hồ sơ trình duyệt Chrome và ảnh chụp màn hình thiết bị. Dữ liệu cho thấy nhóm phụ thuộc rất nhiều vào các công cụ của Google để điều phối lịch trình làm việc, phân công nhiệm vụ và quản lý ngân sách, và tất cả các thông tin liên lạc đều bằng tiếng Anh. Một tài liệu báo cáo hàng tuần vào năm 2025 đã tiết lộ mô hình làm việc của nhóm hack và những khó khăn gặp phải trong giai đoạn này, chẳng hạn như một thành viên phàn nàn rằng "Tôi không thể hiểu yêu cầu công việc và không biết phải làm gì", và cột giải pháp tương ứng được điền vào "đặt trong lòng, nỗ lực gấp đôi"...... Hồ sơ chi tiêu chi tiết cho thấy các khoản chi tiêu của họ bao gồm mã an sinh xã hội (SSN) mua hàng, Upwork, giao dịch tài khoản LinkedIn, cho thuê số điện thoại, đăng ký dịch vụ AI, thuê máy tính và mua dịch vụ VPN/proxy. Một trong những bảng tính nêu chi tiết lịch trình và kịch bản của cuộc họp dưới danh tính giả "Henry Zhang". Dòng chảy cho thấy những nhân viên CNTT này của Triều Tiên trước tiên sẽ mua tài khoản Upwork và LinkedIn, thuê thiết bị máy tính, sau đó thuê ngoài công việc thông qua các công cụ điều khiển từ xa của AnyDesk. Một trong những địa chỉ ví mà họ sử dụng để gửi và nhận tiền là: 0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c; Địa chỉ này có liên quan chặt chẽ đến cuộc tấn công giao thức Favrr trị giá 680.000 USD vào tháng 6 năm 2025, sau đó xác nhận rằng giám đốc kỹ thuật và các nhà phát triển khác là nhân viên CNTT của Triều Tiên với tài liệu giả mạo. Địa chỉ cũng xác định các nhân viên CNTT của Triều Tiên từ các dự án xâm nhập khác. Lịch sử tìm kiếm và lịch sử trình duyệt của nhóm cũng tìm thấy bằng chứng quan trọng sau đây. Một số người có thể hỏi "làm thế nào để xác nhận rằng họ đến từ Bắc Triều Tiên"? Ngoài tất cả các tài liệu gian lận được nêu chi tiết ở trên, lịch sử tìm kiếm của họ cho thấy họ thường xuyên sử dụng Google Dịch và dịch sang tiếng Hàn bằng IP của Nga. Hiện nay, những thách thức chính đối với các doanh nghiệp trong việc bảo vệ chống lại nhân viên CNTT của Triều Tiên tập trung vào những vấn đề sau: Thiếu sự hợp tác có hệ thống: thiếu cơ chế chia sẻ thông tin và hợp tác hiệu quả giữa các nhà cung cấp dịch vụ nền tảng và doanh nghiệp tư nhân; Sơ suất của nhà tuyển dụng: Đội ngũ tuyển dụng thường thể hiện thái độ phòng thủ sau khi nhận được cảnh báo rủi ro, hoặc thậm chí từ chối hợp tác điều tra; Tác động lợi thế định lượng: Mặc dù các phương tiện kỹ thuật của nó không phức tạp nhưng nó vẫn tiếp tục thâm nhập thị trường việc làm toàn cầu với lượng người tìm việc khổng lồ; Kênh chuyển đổi quỹ: các nền tảng thanh toán như Payoneer thường được sử dụng để chuyển đổi thu nhập fiat từ công việc phát triển thành tiền điện tử; Tôi đã đề cập đến các số liệu mà tôi cần chú ý nhiều lần và nếu bạn quan tâm, bạn có thể lướt qua các tweet lịch sử của tôi, vì vậy tôi sẽ không lặp lại chúng ở đây. Các báo cáo liên quan Google Cloud cảnh báo: Các cuộc tấn công gián điệp CNTT của Triều Tiên mở rộng, các doanh nghiệp toàn cầu nên cảnh giác Tỷ lệ thâm nhập mạng thấp nhất thế giới" Tại sao tin tặc Triều Tiên Lazarus lại mạnh như vậy? Liên tục phá vỡ mạng lưới an toàn của các doanh nghiệp lớn, Lhasa Road trở thành cỗ máy kiếm tiền của Kim Jong-un để phát triển vũ khí hạt nhân Dự trữ bitcoin của Triều Tiên tăng 13.000 miếng, "trở thành quốc gia nắm giữ lớn thứ ba" chỉ đứng sau Mỹ và Anh, hacker Lazarus đã tác động như thế nào đến cuộc chạy đua vũ trang tiền điện tử toàn cầu? "ZachXBT Toàn văn: Sau khi chống lại việc hack thiết bị hack của Triều Tiên, tôi hiểu chế độ "làm việc" của họ" Bài viết này được xuất bản lần đầu tiên trong "Xu hướng động - Phương tiện tin tức Blockchain có ảnh hưởng nhất" của BlockTempo.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Toàn văn ZachXBT: Sau khi phản hack thiết bị của hacker Bắc Triều Tiên, tôi đã hiểu được "mô hình" công việc của họ.
ZachXBT, một thám tử on-chain nổi tiếng, trích dẫn một cuộc điều tra của tin tặc mũ trắng để khám phá cách một nhóm gồm năm tin tặc Triều Tiên thao túng danh tính giả mạo để xâm nhập vào các dự án phát triển. Bài viết này cung cấp cái nhìn sâu sắc về mô hình làm việc, phân tích chi tiêu và dòng tài trợ của họ để cung cấp thông tin chi tiết chính chống lại các mối đe dọa như vậy. Bài viết này dựa trên một bài báo được viết bởi ZachXBT và được biên soạn, biên soạn và đóng góp bởi Azuma, Odaily. (Tóm tắt nội dung: Microsoft đã hợp tác với FBI để trấn áp tin tặc của Triều Tiên!) Đóng băng 3.000 tài khoản và bắt giữ "đồng phạm di cư") (Bổ sung cơ bản: BitoPro bị tấn công và bị điều tra là Lazarus của Triều Tiên!) Cuộc tấn công kỹ thuật xã hội đánh cắp 11,5 triệu đô la Tin tặc Bắc Triều Tiên là một mối đe dọa lớn đối với thị trường tiền điện tử. Trong những năm trước, nạn nhân và nhân viên an ninh trong ngành chỉ có thể suy đoán về các mô hình hành vi của tin tặc Triều Tiên thông qua hướng ngược lại của từng sự cố an ninh liên quan, nhưng hôm qua, ZachXBT, một thám tử on-chain nổi tiếng, đã trích dẫn một hacker mũ trắng trong tweet mới nhất của mình để phản đối cuộc điều tra và phân tích tin tặc Triều Tiên, lần đầu tiên tiết lộ phương pháp "hoạt động" của hacker Triều Tiên từ góc độ tích cực, hoặc thực hiện triển khai tiền bảo mật của các dự án trong ngành có ý nghĩa tích cực nhất định. Sau đây là toàn văn của ZachXBT, được biên soạn bởi Odaily Planet. Một tin tặc ẩn danh, giấu tên gần đây đã xâm nhập vào thiết bị của một nhân viên CNTT Triều Tiên, phơi bày câu chuyện bên trong về cách một nhóm công nghệ gồm 5 người thao túng hơn 30 danh tính giả để thực hiện các hoạt động của họ. Nhóm không chỉ giữ ID giả do chính phủ cấp mà còn thâm nhập vào các dự án phát triển khác nhau bằng cách mua tài khoản Upwork/LinkedIn. Các nhà điều tra đã thu thập dữ liệu Google Drive, hồ sơ trình duyệt Chrome và ảnh chụp màn hình thiết bị. Dữ liệu cho thấy nhóm phụ thuộc rất nhiều vào các công cụ của Google để điều phối lịch trình làm việc, phân công nhiệm vụ và quản lý ngân sách, và tất cả các thông tin liên lạc đều bằng tiếng Anh. Một tài liệu báo cáo hàng tuần vào năm 2025 đã tiết lộ mô hình làm việc của nhóm hack và những khó khăn gặp phải trong giai đoạn này, chẳng hạn như một thành viên phàn nàn rằng "Tôi không thể hiểu yêu cầu công việc và không biết phải làm gì", và cột giải pháp tương ứng được điền vào "đặt trong lòng, nỗ lực gấp đôi"...... Hồ sơ chi tiêu chi tiết cho thấy các khoản chi tiêu của họ bao gồm mã an sinh xã hội (SSN) mua hàng, Upwork, giao dịch tài khoản LinkedIn, cho thuê số điện thoại, đăng ký dịch vụ AI, thuê máy tính và mua dịch vụ VPN/proxy. Một trong những bảng tính nêu chi tiết lịch trình và kịch bản của cuộc họp dưới danh tính giả "Henry Zhang". Dòng chảy cho thấy những nhân viên CNTT này của Triều Tiên trước tiên sẽ mua tài khoản Upwork và LinkedIn, thuê thiết bị máy tính, sau đó thuê ngoài công việc thông qua các công cụ điều khiển từ xa của AnyDesk. Một trong những địa chỉ ví mà họ sử dụng để gửi và nhận tiền là: 0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c; Địa chỉ này có liên quan chặt chẽ đến cuộc tấn công giao thức Favrr trị giá 680.000 USD vào tháng 6 năm 2025, sau đó xác nhận rằng giám đốc kỹ thuật và các nhà phát triển khác là nhân viên CNTT của Triều Tiên với tài liệu giả mạo. Địa chỉ cũng xác định các nhân viên CNTT của Triều Tiên từ các dự án xâm nhập khác. Lịch sử tìm kiếm và lịch sử trình duyệt của nhóm cũng tìm thấy bằng chứng quan trọng sau đây. Một số người có thể hỏi "làm thế nào để xác nhận rằng họ đến từ Bắc Triều Tiên"? Ngoài tất cả các tài liệu gian lận được nêu chi tiết ở trên, lịch sử tìm kiếm của họ cho thấy họ thường xuyên sử dụng Google Dịch và dịch sang tiếng Hàn bằng IP của Nga. Hiện nay, những thách thức chính đối với các doanh nghiệp trong việc bảo vệ chống lại nhân viên CNTT của Triều Tiên tập trung vào những vấn đề sau: Thiếu sự hợp tác có hệ thống: thiếu cơ chế chia sẻ thông tin và hợp tác hiệu quả giữa các nhà cung cấp dịch vụ nền tảng và doanh nghiệp tư nhân; Sơ suất của nhà tuyển dụng: Đội ngũ tuyển dụng thường thể hiện thái độ phòng thủ sau khi nhận được cảnh báo rủi ro, hoặc thậm chí từ chối hợp tác điều tra; Tác động lợi thế định lượng: Mặc dù các phương tiện kỹ thuật của nó không phức tạp nhưng nó vẫn tiếp tục thâm nhập thị trường việc làm toàn cầu với lượng người tìm việc khổng lồ; Kênh chuyển đổi quỹ: các nền tảng thanh toán như Payoneer thường được sử dụng để chuyển đổi thu nhập fiat từ công việc phát triển thành tiền điện tử; Tôi đã đề cập đến các số liệu mà tôi cần chú ý nhiều lần và nếu bạn quan tâm, bạn có thể lướt qua các tweet lịch sử của tôi, vì vậy tôi sẽ không lặp lại chúng ở đây. Các báo cáo liên quan Google Cloud cảnh báo: Các cuộc tấn công gián điệp CNTT của Triều Tiên mở rộng, các doanh nghiệp toàn cầu nên cảnh giác Tỷ lệ thâm nhập mạng thấp nhất thế giới" Tại sao tin tặc Triều Tiên Lazarus lại mạnh như vậy? Liên tục phá vỡ mạng lưới an toàn của các doanh nghiệp lớn, Lhasa Road trở thành cỗ máy kiếm tiền của Kim Jong-un để phát triển vũ khí hạt nhân Dự trữ bitcoin của Triều Tiên tăng 13.000 miếng, "trở thành quốc gia nắm giữ lớn thứ ba" chỉ đứng sau Mỹ và Anh, hacker Lazarus đã tác động như thế nào đến cuộc chạy đua vũ trang tiền điện tử toàn cầu? "ZachXBT Toàn văn: Sau khi chống lại việc hack thiết bị hack của Triều Tiên, tôi hiểu chế độ "làm việc" của họ" Bài viết này được xuất bản lần đầu tiên trong "Xu hướng động - Phương tiện tin tức Blockchain có ảnh hưởng nhất" của BlockTempo.