链上侦探 ZachXBT 刚发了长推,这回不是抓某个小割韭菜的,而是直接端了一个朝鲜(DPRK)IT 工人的内部支付后台
这些整天研究怎么黑别人服务器的顶级黑客,自己的后台 luckyguys[.]site 居然有 10 个人用的是 123456 的默认密码。更离谱的是,其中一个老哥的电脑中了 Infostealer(信息窃取木马),把所有的聊天记录、浏览器密码、虚假身份文件全给泄露出来了。
地下金融网 11 步取证全记录
Step 1: 消息源与核心数据量
-
证据点: ZachXBT 获得匿名来源数据,包含 390 个内部账户、聊天记录及交易流。
-
调查开篇,侦探展示了获取的绝密数据集,明确了这次“核弹级”泄露的规模:月流水百万美元,涉及大量伪造证件和洗钱路径。
Step 2: 突破口——木马“黑吃黑”
-
证据点: 某个朝鲜工人中了 Infostealer(信息窃取木马)。
揭秘数据来源:一名朝鲜 IT 工人的个人设备被植入木马,导致其 IPMsg 聊天日志、浏览器历史记录和所有保存的凭据被“一锅端”。
Step 3: 锁定“发薪后台” LuckyGuys
-
证据点: 挖掘出名为
luckyguys[.]site的内部支付平台。
通过分析浏览器历史记录,锁定了一个核心枢纽:luckyguys[.]site。这是一个专门为外派 IT 劳工设计的内部汇款与薪资管理平台。
Step 4: 运维灾难——“123456”密码
-
证据点: 账户列表截图,显示大量默认密码未改。
-
报道:技术槽点: 调查发现该平台的运维极其业余。至少 10 个账户仍在使用默认密码
123456,这为调查人员提供了直接进入后台“查账”的权限。
Step 5: 组织架构排摸
-
证据点: 后台用户列表,包含角色、韩文名、城市和代号。
后台数据实锤了组织架构:列表详尽标注了人员的真实姓名(如金某、李某)、所在城市以及所属的秘密行动小组代号。
Step 6: 关联 OFAC 制裁实体
-
证据点: 数据中出现的 Sobaeksu、Anyang、Yongbyeon 等公司名。
: 证据直接指向了国家级实体。平台关联的三家公司均处于美国财政部(OFAC)的制裁名单中,证明了这是受官方操控的敛财链路。
Step 7: 伪造身份的技术细节
-
证据点: 堆叠的假证件照片、假护照模板。
展示其“变脸”技术。这些工人利用高质量的 P 图和 AI 技术,伪造多国驾照和护照,在远程招聘中冒充其他国籍的开发者。
Step 8: 身份交叉验证(KYC 绕过)
-
证据点: 虚假简历与对应的真实后台身份对比图。
调查揭示了他们如何通过“身份套娃”绕过 KYC:在外面是西方面孔的简历,后台却是真实的朝鲜审计员,形成了完美的欺诈闭环。
Step 9: 链上资金归集逻辑
-
证据点: 资金流向拓扑图,显示从雇主到洗钱地址的过程。
深度拆解洗钱链路:他们将赚取的法币转化为加密货币,通过一系列复杂的链上转账进行归集,最后由专门的财务节点进行变现。
Step 10: 内部协同与通讯日志
-
证据点: IPMsg 日志截图,讨论支付和技术问题。
通过对 IPMsg 通讯协议的解密,还原了他们的协同细节:从如何分配假身份,到如何处理被冻结的账户,内部指令一览无余。
总结性的资金统计或最后的警示语。这不仅是 100 万美元的月收益,更是对全球科技公司招聘安全的巨大威胁。ZachXBT 提醒所有项目方,必须升级背景调查手段。
3.这次泄露的数据简直是“开箱即用”的取证现场:
-
人名全是真实的: 泄露名单里不光有代号,还有朝鲜真名、所在的城市。
-
洗钱流水线: 他们每个月能洗出 100 万美元。流程很简单:先用 AI 换脸或 P 图伪造多国护照,在外面找远程开发工作挣美元,然后通过这个
luckyguys平台把钱转成加密货币汇回去。 -
实锤制裁公司: 数据直接关联到了三家被 OFAC 制裁的公司:Sobaeksu(小板水)、Anyang 和 Yongbyeon。以前只是猜测,现在是把他们的账本直接甩脸上了。
-
4. 深度分析
这事儿最硬核的地方在于:这不仅仅是洗钱,还是个供应链安全隐患。 这些工人潜伏在各种加密项目组里(比如之前被黑的 Drift Protocol 可能也有这类影子)。他们平时看着是干活的开发者,背地里在代码里埋后门,或者利用内部权限搞社工。
这就是现在的网络战现状:你以为对面是个西装革履的北美架构师,其实他是平壤某个办公室里,用着 VPN、拿着假护照、甚至连自己后台密码都懒得改的打工人。“即便是国家级黑客,在面对基础安全运维(OpSec)时也可能因为人性弱点而翻车。”
本文图片来源:
https://x.com/zachxbt/status/2041873508180095032
暂无评论内容