O investigador on-chain ZachXBT interceptou pagamentos feitos diretamente a trabalhadores de TI norte-coreanos. A folha de pagamento sugere que mais projetos de criptomoedas estão expostos a potenciais ataques cibernéticos vindos de suas próprias equipes, ou a bugs e backdoors introduzidos emtracinteligentes.
Uma nova investigação da ZachXBT revelou que uma parcela significativa dos salários de trabalhadores de TI, disfarçados de agentes da Coreia do Norte, continua sendo paga. As equipes dos projetos contrataram profissionais de TI internacionais, muitas vezes sob o disfarce de perfis falsos. Atualmente, diversos perfis estão sendo expostos por infiltrarem projetos de blockchain, Web3 e DeFi .
A ZachXBT descobriu US$ 16,58 milhões em pagamentos desde janeiro de 2025, o que indica a existência de centenas de empregos em projetos de criptomoedas.
1/ Minha investigação recente revelou que mais de US$ 16,58 milhões em pagamentos foram feitos desde 1º de janeiro de 2025, ou US$ 2,76 milhões por mês, para trabalhadores de TI norte-coreanos contratados como desenvolvedores em diversos projetos e empresas.
Para colocar isso em perspectiva, os pagamentos variam de US$ 3.000 a US$ 8.000 por mês, o que significa… pic.twitter.com/pjHZG9wJ4r
— ZachXBT (@zachxbt) 2 de julho de 2025
Os endereços e folhas de pagamento interceptados sugerem que alguns dos funcionários de TI usaram identidades disfarçadas dent localizações falsas. A recente divulgação de carteiras digitais e dent ocorreu após o Departamento de Justiça dos EUA ter reprimido um esquema de fraude de TI que tinha como alvo empresas americanas.
Os riscos envolvem o roubo de criptomoedas, ataques contra tokens, esgotamento da liquidez, além da exposição e roubo de informações sensíveis.
As descobertas de ZachXBT também seguem o recente vazamento de informações pessoais de trabalhadores de TI da Coreia do Norte, que se revelaram de memes ou integrantes de equipes já existentes nesse ramo. Outras investigações envolvem tentativas de se passar por engenheiros civis ou até mesmo buscar vagas como designers de interiores . As equipes falsas frequentemente utilizam IA como ferramenta de pesquisa e para disfarçar sua dent .
Equipes de TI norte-coreanas foram expostas em investigações voluntárias
Para alguns, hackers norte-coreanos em equipes de criptografia ainda são uma teoria da conspiração. A maioria das descobertas recentes está ligada a esforços de OSINT (Inteligência de Fontes Abertas) e trace divulgação de informações pessoais na vida real.
A ZachXBT também adiciona monitoramento de carteiras, frequentemente conectando profissionais de TI conhecidos com perfis proeminentes em redes sociais, com base em suas ligações a grupos de carteiras de hackers norte-coreanos. A ZachXBT alertou que profissionais de TI da Coreia do Norte também estão se infiltrando em empresas de tecnologia tradicionais, mas projetos de criptomoedas geralmente permitem um tracmais fácil, especialmente se seus pagamentos forem registrados na blockchain.
Por enquanto, ZachXBT não divulgou os nomes dos projetos de criptomoedas mais afetados pelos hackers. Anteriormente, até mesmo protocolos consolidados como o Waves relataram contratos trac comprometidos devido à contratação de profissionais de TI sem a devida qualificação.
Profissionais de TI norte-coreanos também se fazem passar por influenciadores de criptomoedas
No início de junho, os investigadores também apontaram que vários influenciadores de criptomoedas de alto perfil, ligados a projetos antigos de memes e NFTs, estavam conectados a grupos de carteiras . Alguns dos endereços observados por ZachXBT também foram sinalizados como estando ligados ao projeto NFT Favvr.
Hackers da Coreia do Norte geralmente não permanecem muito tempo em projetos, mas seu envolvimento é arriscado mesmo por um curto período. Eles podem desempenhar múltiplas funções em projetos, incluindo acesso a carteiras multi-assinatura ou outras responsabilidades importantes. Como os projetos de criptomoedas realizam auditorias apenas com meses ou anos de intervalo, algumas plataformas DeFi , tokens de memes e outros aplicativos podem apresentar riscos ocultos de exploração.
ZachXBT também observa que os hackers são atraídos principalmente pela MEXC, bem como por corretoras sediadas nos EUA, incluindo Robinhood e Coinbase. Binance, uma das corretoras mais utilizadas, agora é inadequada, pois tem um tracde congelamento de fundos e de auxílio às autoridades na interceptação de contas suspeitas. Os profissionais de TI norte-coreanos frequentemente recorrem ao USDC, embora tentem ocultar as transações, já que a stablecoin pode ser congelada.
