朝鲜黑客攻击Upwork和GitHub上的自由职业者

网络安全研究人员表示，朝鲜特工通过自由职业和代码托管平台“多样化”了诈骗受害者的方式，这些平台招募毫无戒心的用户作为远程技术工作的dent代理人。. 

朝鲜民主主义人民共和国（DPRK）的IT从业人员正在利用Upwork、Freelancer和GitHub冒充合法从业人员，并通过使用属于真实用户的已验证帐户来逃避国际制裁。.

据 SEAL Intel 成员、网络安全研究员 Heiner García Pérez 称，黑客首先发布自由职业工作机会或联系候选人，然后将对话转移到 Telegram 或 Discord 等加密频道，在那里提供有关如何设置远程访问和验证检查的详细说明。.

朝鲜的不良行为者利用自由职业者规避制裁

Garcia 发现 ， 朝鲜特工 ，绕过地理过滤器、dentdentdentdentdentdentdentdentdent。 

这使他们能够以窃取或借用的dent申请或从事远程 IT 工作，在向毫无戒心的客户收取款项的同时，掩盖自己的真实身份。. 

“这些行动者组织严密、协调一致，并共享行动方案。他们方法的一致性表明，这是由国家支持的可重复系统的一部分，”这位海豹突击队情报成员写道。.

据 报道 Cryptopolitan Cryptopolitan ，一些朝鲜IT从业人员利用虚假dent这帮助朝鲜当局派遣远程IT专业人员到海外，以trac盗用或借用的身份dent职位，并借助空壳公司掩盖其真实身份。

dent用者只能获得总收入的 20% 左右，而幕后操纵者则保留了 80%，这些钱通过加密钱包甚至传统银行账户转移出去。. 

利用人工智能操纵图像和公司名称

加西亚·佩雷斯的调查揭露了多起技术高超且蓄意隐瞒的行为。其中一起案例中，一名IT人员创建了一个名为“我的照片”的谷歌云端硬盘文件夹，其中存放着经人工智能编辑的肖像照片，以及一些以其他人名字命名的文件夹。他认为这些数字文档代表着不同的身份，但实际上由同一人操控。.

他从硬盘中恢复的文件更深入地揭示了招聘和支付流程。其中一个名为“账户”的文件包含了如何访问Upwork平台、合作目的以及利润分配方式的说明。. 

部分文件夹以韩语命名，例如“it개발 매칭 플랫폼 사이트”，意为“IT开发匹配平台网站”。调查人员认为，这些文件是为“韩语用户和国内IT生态系统”准备的。

海纳·加西亚·佩雷斯还发现，朝鲜的行动者正在利用残疾人在线社区、求职门户网站，甚至是像 InterPals 这样的交友网站来招募合作者。.

支付流程通过加密货币、PayPal 和银行进行。

此类行动的理想目标大多位于美国、欧洲和亚洲部分地区。然而，在招募材料中，乌克兰和菲律宾被dent的频率最高，因为这些地区的低收入人群可能更容易接受“快速赚钱的机会”。

“如果客户发布项目，很多自由职业者都会竞标。客户会与自由职业者讨论项目，并将项目交给选定的开发者。如果我愿意，我可以参与客户的项目。项目完成后，我可以从客户那里收到报酬。这笔钱会存入我的自由职业者账户，”一位IT招聘人员向一位名叫“Ana”的自由职业者账户持有者解释了如何赚钱。

犯罪分子和合作者之间的利润分成结构在交易初期就已商定。在大多数有记录的案例中，IT从业人员会诱使受害者使用加密货币、PayPal甚至银行转账进行支付。.

经核实，一名朝鲜IT工作者使用了一个以伊利诺伊州一名建筑师dent注册的欺诈性Upwork帐户。.