一名朝鮮IT工作人員的一臺受損設備暴露了價值68萬美元的Favrr黑客攻擊背后團隊的內部運作方式，以及他們使用谷歌工具來瞄準加密貨幣項目。

總結

• 一名朝鮮IT工作人員的受損設備暴露了威脅行為者的內部運作方式。
• 有證據表明，特工使用谷歌支持的工具、AnyDesk和VPN滲透加密貨幣公司。

據連鎖偵探ZachXBT稱，這起事件始于一位未透露姓名的消息人士，他訪問了一名工人的電腦，發現了屏幕截圖、Google Drive出口和Chrome個人資料，揭開了特工如何計劃和實施他們的計劃的面紗。

ZachXBT利用錢包活動和匹配的數字指紋驗證了源材料，并將該集團的加密貨幣交易與2025年6月粉絲代幣市場Favrr的利用聯系起來。一個錢包地址“0x 78 e1 a”顯示了事件被盜資金的直接鏈接。

行動內部

被泄露的設備顯示，這個小團隊--總共六名成員--共享至少31個假身份。為了找到區塊鏈開發工作，他們收集了政府頒發的ID和電話號碼，甚至購買LinkedIn和Upwork帳戶來完成他們的掩護。

設備上發現的采訪腳本顯示，他們擁有在Polygon Labs、OpenSea和Chainlink等知名區塊鏈公司的經驗。

谷歌工具是他們有組織的工作流程的核心。發現威脅行為者正在使用驅動器電子表格來跟蹤預算和時間表，而谷歌翻譯則彌合了韓語和英語之間的語言差距。

從設備中提取的信息中包括一份電子表格，顯示IT工作人員正在租用計算機并支付VPN訪問費用，以便為其運營購買新帳戶。

該團隊還依賴AnyDesk等遠程訪問工具，使他們能夠在不透露其真實位置的情況下控制客戶端系統。VPN日志將他們的活動與多個地區聯系起來，掩蓋了朝鮮IP地址。

其他調查結果顯示，該小組正在尋找在不同區塊鏈上部署代幣的方法，在歐洲尋找人工智能公司，并在加密貨幣領域制定新的目標。

朝鮮威脅行為者使用遠程工作

ZachXBT在多份網絡安全報告中發現了相同的模式--朝鮮IT工作人員找到合法的遠程工作，然后進入加密貨幣行業。通過冒充自由開發人員，他們可以訪問代碼存儲庫、后臺系統和錢包基礎設施。

設備上發現的一份文件是面試筆記和準備材料，這些材料可能會在與潛在雇主通話時保存在屏幕上或附近。