如何通過設備漏洞揭露30多個由北韓特工創建的假身份

安全研究員 ZachXBT 公布了一項重大發現：來自北韓IT人員的機密設備資料揭露了一個組織化的行動，該行動在多個平台上使用超過30個偽造身份。所存取的資訊——包括Chrome瀏覽器配置檔、Google Drive備份和系統截圖——描繪出一個協調合作的團隊，透過詐騙手段取得開發者角色。

行動規模

這次行動不僅僅是簡單的帳號創建。這些操作人員系統性地使用政府發放的身分證件取得Upwork和LinkedIn的憑證，然後透過AnyDesk遠端桌面軟體管理他們的活動。一個特定的錢包地址，0x78e1，在2025年6月與Favrr平台的68萬美元盜竊案直接相關，明確連結了社交工程基礎設施與金融盜竊。

基礎設施與手法揭露

所存取的系統顯示團隊如何協調他們的行動。他們利用Google的工具套件進行任務排程，同時透過非法渠道購買SSN、AI服務訂閱和VPN存取。瀏覽器歷史記錄顯示他們大量依賴Google翻譯，特別是用來將文字轉換成韓文或從韓文轉出，而地理位置資料追蹤到許多連線來自俄羅斯IP地址——這是常見的混淆手法。

系統性漏洞曝光

除了技術手段外，這次入侵也突顯了組織上的弱點。招聘人員和平台管理員未能察覺多個身份變化中的明顯異常。缺乏跨平台的情報共享與身份驗證協調，造成漏洞，使得同一個人能在自由職業網絡中維持多重身份。

此事件強調，當制度防禦孤立運作時，結合社交工程與基礎設施混淆仍是有效的攻擊手段。