I lavoratori IT nordcoreani incassano 16,58 milioni di dollari di pagamenti diretti nel 2025: ZachXBT

L'investigatore on-chain ZachXBT ha intercettato pagamenti effettuati direttamente ai dipendenti IT nordcoreani. Il libro paga suggerisce che un numero maggiore di progetti crittografici è esposto a potenziali attacchi informatici da parte dei propri team, o a bug e backdoor introdotti negli smarttrac.

Una nuova indagine di ZachXBT ha mostrato che continuano a percepire ingenti stipendi da parte di dipendenti IT identificati come agenti della RPDC. I team di progetto hanno assunto dipendenti IT internazionali, spesso sotto copertura con profili falsi. Attualmente, una serie di profili sono stati scoperti per essersi infiltrati in progetti blockchain, Web3 e DeFi . 

ZachXBT ha scoperto pagamenti per 16,58 milioni di dollari da gennaio 2025, il che indica centinaia di posti di lavoro in progetti crittografici. 

1/ La mia recente indagine ha scoperto che dal 1° gennaio 2025 sono stati inviati pagamenti per un valore di oltre 16,58 milioni di dollari, ovvero 2,76 milioni di dollari al mese, a dipendenti IT nordcoreani assunti come sviluppatori in vari progetti e aziende.

Per dare un'idea delle proporzioni, i pagamenti vanno dai 3.000 agli 8.000 dollari al mese, il che significa... pic.twitter.com/pjHZG9wJ4r

— ZachXBT (@zachxbt) 2 luglio 2025

Gli indirizzi e le buste paga intercettati suggeriscono che alcuni dipendenti IT abbiano utilizzato identità camuffatedentsedi false. La recente rivelazione di ulteriori portafogli e identitàdentarrivata dopo che il Dipartimento di Giustizia degli Stati Uniti ha represso un recente schema informatico che prendeva di mira aziende statunitensi.

I rischi riguardano il furto di criptovalute, gli attacchi ai token, il drenaggio di liquidità, oltre all'esposizione e al furto di informazioni sensibili. 

Le scoperte di ZachXBT fanno seguito a recenti casi di doxing di lavoratori IT nordcoreani, che si sono rivelati di meme token o membri di team di meme token già esistenti. Altre indagini riguardano tentativi di spacciarsi per ingegneri civili o persino di cercare lavoro come interior designer. I falsi team spesso utilizzano l'intelligenza artificiale come strumento di ricerca e per mascherare la propriadent.

I team IT nordcoreani sono stati smascherati in indagini volontarie

Per alcuni, gli hacker nordcoreani nei team di crittografia sono ancora una teoria del complotto. La maggior parte delle recenti scoperte è legata a operazioni di OSINT e a operazioni trace doxxing nella vita reale. 

ZachXBT aggiunge anche il monitoraggio dei wallet, spesso collegando noti dipendenti IT con profili social media di rilievo, in base alle loro connessioni wallet, a noti cluster di wallet hacker della RPDC. ZachXBT ha avvertito che i dipendenti IT nordcoreani si stanno infiltrando anche nelle aziende tecnologiche tradizionali, ma i progetti crypto spesso consentono un tracpiù semplice, soprattutto se i loro stipendi sono on-chain. 

Per ora, ZachXBT non ha annunciato i nomi dei progetti crittografici maggiormente colpiti dagli hacker. In precedenza, anche protocolli consolidati come Waves avevano segnalato smart contract compromessitraccausa dell'assunzione di personale IT non verificato. 

Anche i dipendenti IT nordcoreani si spacciano per influencer delle criptovalute

All'inizio di giugno, gli investigatori hanno anche evidenziato che diversi influencer di alto profilo del settore crypto, legati a vecchi progetti di meme e NFT, erano anch'essi collegati a gruppi di wallet. Alcuni degli indirizzi osservati da ZachXBT sono stati inoltre segnalati come collegati al progetto NFT Favvr.

Gli hacker nordcoreani spesso non rimangono a lungo sui progetti, ma il loro coinvolgimento è rischioso anche per un breve periodo. Gli hacker nordcoreani possono ricoprire più ruoli nei progetti, incluso l'accesso a wallet multi-sig o altre responsabilità chiave. Poiché i progetti crypto eseguono audit solo a distanza di mesi o anni, alcune piattaforme DeFi , token meme e altre app potrebbero nascondere rischi nascosti di exploit.

ZachXBT osserva inoltre che gli hacker sono principalmente attratti da MEXC, così come da exchange statunitensi tra cui Robinhood e Coinbase. Binance, uno dei mercati più utilizzati, non è più adatto, in quanto ha una tracdi congelamento di fondi e di assistenza alle autorità nell'intercettazione di account sospetti. Gli informatici nordcoreani ricorrono spesso a USDC, sebbene cerchino di nascondere le transazioni poiché la stablecoin può essere congelata.