朝鲜特工创建的30多个假身份如何通过设备漏洞被曝光

安全研究员 ZachXBT 揭露了一项重大发现：来自朝鲜IT人员的机密设备数据揭示了一场有组织的行动，涉及在多个平台上使用超过30个伪造身份。被访问的信息——包括Chrome浏览器配置文件、Google Drive备份和系统截图——描绘出一个通过欺诈手段获取开发者职位的协调团队。

行动规模

此次行动的范围超出了简单的账户创建。这些操作人员系统性地使用政府颁发的身份证件获取Upwork和LinkedIn的凭证，然后通过AnyDesk远程桌面软件管理他们的活动。一个特定的钱包地址0x78e1在2025年6月直接与针对Favrr平台的68万美元盗窃事件相关联，明确建立了社交工程基础设施与金融盗窃之间的联系。

基础设施与方法揭示

被访问的系统显示了团队如何协调其活动。他们利用Google的工具套件进行任务调度，同时通过非法渠道购买社会安全号码（SSN）、AI服务订阅和VPN访问。浏览器历史记录显示，他们大量依赖Google翻译，特别是用于韩文文本的转换，而地理位置数据追踪到许多连接来自俄罗斯IP地址——这是一种常见的混淆手段。

系统性漏洞暴露

除了技术手段外，此次入侵还暴露了组织上的弱点。招聘人员和平台管理员未能识别出多种身份变体中的明显风险信号。缺乏跨平台情报共享和身份验证协调，造成了漏洞，使得同一批人能够在自由职业网络中维持平行的身份。

此次事件强调了将社交工程与基础设施混淆结合使用时，若机构防御孤立运作，仍然是一个有效的攻击路径。