Gli hacker nordcoreani si candidano regolarmente a Binance. Gli investigatori hanno anche intercettato risorse di hacker che creavanodentper candidarsi a posizioni chiave nel settore IT.
La minaccia rappresentata dagli hacker nordcoreani che si spacciano per informatici è ancora attiva. Alcune fonti hanno scoperto dati recenti sulle tecniche utilizzate per creare falsedente spacciarsi per informatici.
ZachXBT, nota per tracgli hacker della RPDC, ha recentemente scoperto informazioni da uno dei dispositivi dell'aggressore. ZachXBT ha spesso sottolineato il rischio di assumere personale della RPDC, che comporta rischi per smarttrac, wallet multisig o dispositivi compromessi.
Una fonte anonima ha indicato i registri di cinque hacker della RPDC che hanno creato 30dente si sono candidati per compiti IT chiave in progetti crittografici e di altro tipo.
1/ Una fonte anonima ha recentemente compromesso il dispositivo di un dipendente IT della RPDC, fornendo informazioni su come un piccolo team di cinque ITW ha gestito oltre 30 identità false dent documenti d'identità governativi e ha acquistato account Upwork/LinkedIn per ottenere lavori da sviluppatore nei progetti. pic.twitter.com/DEMv0GNM79
— ZachXBT (@zachxbt) 13 agosto 2025
I team hanno utilizzato località false, nomi locali edent, sovrapponendosi a paesi favorevoli alle criptovalute come l'Ucraina e l'Estonia.
I lavoratori IT nordcoreani setacciano le bacheche di lavoro
I documenti trapelati hanno mostrato gli strumenti e tracutilizzati dal team, compresi i tentativi di costruire falsedent.
Gli hacker hanno utilizzato documenti condivisi, rivelando una serie di acquisti di crediti Upwork. La scoperta coincide con segnalazioni di tentativi di acquisto o affitto di account Upwork e di offerte di lavoro per software. Tra i lavori più comuni figuravano vari ruoli nel settore blockchain, ingegneria di smarttrace lavoro su progetti specifici, tra cui Polygon Labs.
Rapporti precedenti hanno mostrato che non tutti i lavoratori IT nordcoreani avevano in mente l'hacking o il settore delle criptovalute. Alcuni di loro avevano il compito di guadagnare con lavori IT legittimi, per poi consegnare il loro stipendio al regime nordcoreano.
Un addetto IT fuggito ha illustrato il piano, dimostrando che la presenza di addetti IT della RPDC rappresentava una minaccia costante per le aziende tradizionali e i team di criptovalute.
Binance filtra le applicazioni della RPDC quasi ogni giorno
Jimmy Su, responsabile della sicurezza di Binance ha affermato che l'exchange filtra costantemente i candidati. Gli hacker nordcoreani cercano di accedere a posizioni chiave nel settore delle criptovalute e Binance li ha intercettati sia attraverso il monitoraggio dei CV che in fase di colloquio. Il settore delle criptovalute presenta anche elenchi non ufficiali di identità false note dent che utilizzano account LinkedIn e profili social media dall'aspetto legittimo.
In passato, Cryptopolitan Sono stati segnalati casi in cui hacker della RPDC hanno costruito l'infrastruttura chiave per progetti Web3, portando alla compromissione di smart trac con backdoor di exploit noti. Questi hacker hanno colpito diversi progetti, dalla DeFi ai Solana . Alcuni team hanno anche lanciato token meme come metodo per riciclare fondi.
Oltre ai falsi profili pubblici, gli hacker della RPDC utilizzano anche repository di codice infetto o link dannosi per indurre gli utenti a installare malware. Tra le tecniche utilizzate, ci sono falsi colloqui di lavoro con link a malware. Gli hacker della RPDC si spacciano anche per intervistatori o project manager, organizzando falsi incontri con un link per il download falso.
In alcuni casi, gli hacker hanno anche proposto agli utenti di Upwork di connettersi al proprio computer da remoto per utilizzare nuovi account senza rivelare la propria identità dent Secondo alcune fonti, alcune persone residenti negli Stati Uniti avrebbero accettato lo scambio, consentendo ai presunti addetti IT l'accesso tramite AnyDesk. Gli hacker hanno anche utilizzato pagamenti in criptovalute tramite un Ethereum , che è stato collegato agli indirizzi utilizzati in attacchi informatici su larga scala.
