A operação anti-hackers revela os segredos de trabalhadores de TI da Coreia do Norte: infiltração em empresas de encriptação com identidades falsas, envolvimento em um caso de hacker de 680 mil dólares.

Uma operação de combate à pirataria direcionada a trabalhadores de TI da Coreia do Norte revelou acidentalmente detalhes sobre suas operações internas de infiltração em empresas globais de ativos de criptografia. De acordo com as capturas de tela e documentos divulgados pelo investigador de ativos de criptografia ZachXBT, essa pequena equipe não apenas estava relacionada ao incidente de pirataria de 680 mil dólares que ocorreu em junho, mas também utilizou identidades falsas, plataformas de freelance e ferramentas remotas a longo prazo, conseguindo acessar internamente vários projetos de Blockchain e Web3.

Ataques de hackers revelam operações internas

（Fonte: ZachXBT）

ZachXBT afirmou que este conjunto de dados veio de um dispositivo de um funcionário norte-coreano que foi invadido com sucesso por uma pessoa anônima. As capturas de tela mostram que a equipe é composta por 6 trabalhadores de TI norte-coreanos, que possuem pelo menos 31 identidades falsas, desde documentos governamentais falsificados, números de telefone, até a compra de contas do LinkedIn e UpWork, especificamente para se candidatar a posições como “desenvolvedor de Blockchain” e “engenheiro de contrato inteligente”.

Até mesmo membros se passaram por engenheiros que trabalharam na OpenSea e na Chainlink, e participaram da entrevista para engenheiro de software full stack na Polygon Labs.

Métodos de infiltração: plataforma de freelancers + ferramentas remotas

（Fonte: ZachXBT）

Documentos vazados mostram que esses trabalhadores norte-coreanos aceitam pedidos através de plataformas como UpWork e usam ferramentas como AnyDesk e VPN para acessar remotamente os sistemas dos empregadores, ocultando sua localização real. Eles colaboram principalmente usando Google Drive, Google Calendar e ferramentas de tradução coreano-inglês, e os registros de despesas operacionais mostram que apenas em maio gastaram 1.489,8 dólares em operações relacionadas e aluguel de equipamentos.

associação com o caso do hacker de 680 mil dólares

A investigação revelou que um dos endereços de carteira de encriptação 0x78e1a está diretamente relacionado a uma falha de 680 mil dólares no mercado de tokens de fãs Favrr em junho de 2025.

ZachXBT apontou que, na época, o CTO da Favrr “Alex Hong” e vários desenvolvedores eram, na verdade, trabalhadores de TI da Coreia do Norte que se disfarçavam de engenheiros estrangeiros. Esses fundos acabaram sendo convertidos em ativos de criptografia através da Payoneer, para financiar suas atividades.

Objetivos e Riscos: Não apenas a indústria de encriptação

A partir dos registros de pesquisa, a equipe não apenas se concentra na implementação cruzada de ERC-20 e Solana, mas também investiga as principais empresas de desenvolvimento de IA na Europa, mostrando que seus alvos de penetração podem se expandir para a inteligência artificial e outras áreas de alta tecnologia.

ZachXBT apela às empresas de encriptação e tecnologia para reforçar a verificação de recrutamento e aumentar a cooperação entre plataformas de trabalho freelance e empresas, a fim de evitar comportamentos de infiltração semelhantes.

Conclusão

A recente ação contra hackers revelou a alta eficiência e a discrição com que trabalhadores de TI da Coreia do Norte infiltram a indústria de ativos de criptografia — desde identidades falsas, controle remoto, até a participação direta em ataques hackers, todo o processo já está altamente amadurecido. Com o recente imposto de sanções pelo Departamento do Tesouro dos EUA a indivíduos e entidades relacionadas, a indústria deve estar ciente de que esta “guerra invisível” contra os ativos de criptografia e o setor de tecnologia continua a se intensificar. Para mais relatórios sobre segurança em blockchain e investigações, siga a plataforma oficial da Gate.