北韓 IT 團隊疑假扮開發者滲透「加密貨幣」產業，在短短數月內累積超過「350 萬美元」資金，並透過「虛假身分」、「洗錢」與「制裁規避」等手法，引發「加密貨幣」社群對供應鏈安全與招募流程的高度關注。

根據區塊鏈追蹤分析師 ZachXBT 於 3 日在 X（原 Twitter）上發布的貼文，一名匿名駭客入侵了疑似北韓 IT 人員的裝置，取得多份內部文件。這些資料顯示，一名代號為「Jerry」的成員與約 140 人的團隊，自去年 11 月底起，每月可從多個「加密貨幣」相關工作與專案中賺取約「100 萬美元」，累計金額已超過「350 萬美元」等值「加密資產」。

這個團隊被指透過偽造履歷與身分，假扮遠端「開發者」或 IT 承包商，接觸境外「加密貨幣」專案與 Web3 公司。根據流出的文件，他們使用「luckyguys.site」作為內部資金管理網站，並以共用密碼「123456」登入，集中查看與分配收入。ZachXBT 指出，該網站部分使用者疑似與美國財政部海外資產控制辦公室（OFAC）制裁名單上的「小白水」、「Saena（새날）」、「Songgang（송광）」等北韓相關實體有所關聯，顯示背後網絡並非單一小型詐騙團隊，而是與既有「制裁規避」體系相互連結。

資金流向方面，分析顯示，相關「加密貨幣」資產在完成多次鏈上轉移與混幣操作後，會被兌換成法幣，再透過線上支付平台「Payoneer」出金到中國境內銀行帳戶。部分錢包地址還與「泰達幣(USDT)」在去年 12 月列入黑名單的北韓關聯地址存在鏈上關聯。「評論」這意味著北韓的資金網絡並非一次性行動，而是長期運作、可持續利用既有黑名單外圍地址進行周轉。

過去幾年，與北韓政權相關的駭客與 IT 團隊，一直是「加密貨幣」產業的重大風險來源。根據多方情資統計，自 2009 年以來，北韓組織疑似透過駭客攻擊及金融犯罪，累計非法獲取的資金已超過「70 億美元」。其中包含「Bybit」事件、「Ronin Bridge」攻擊等多起大型「DeFi」與交易平台攻擊。近期在 4 月 1 日發生的「Drift Protocol」攻擊，同樣被部分安全研究人員指向北韓相關組織。

此次流出文件還包含一份內部「排行榜」，以 12 月 8 日之後的時間點為基準，逐一列出各名 IT 成員在特定期間內為組織帶來多少「加密貨幣」收入，並附上對應交易的區塊鏈瀏覽器連結。這種績效式管理模式顯示，相關人員並非鬆散合作，而是以「業績導向」方式被集中指揮與考核，接近傳統企業化架構。「評論」這也說明北韓 IT 團隊在遠端就業、外包開發、自由接案平台上的滲透，可能已形成穩定且可複製的營運模式。

不過，ZachXBT 也在貼文中指出，該團隊在技術與營運手法上，與「AppleJeus」、「TraderTraitor」等已知北韓駭客組織相比，仍顯得相對粗糙與不夠成熟。他認為，後者在攻擊效率與社交工程等方面更為老練，對整個「加密貨幣」產業構成的風險仍然更大。

從行動模式來看，北韓相關組織已不再只依賴傳統「惡意程式」與「智能合約漏洞」等技術攻擊，而是將「假身分就業」、「遠端外包」、「錢包多跳轉」、「跨境出金」等手法結合，打造一條從開發者招募、專案參與到「洗錢」出金的完整攻擊與收益鏈條。「評論」對「加密貨幣」公司與新創團隊而言，單純加強合約審計已不足以應對此類風險，必須同步強化以下幾個面向：

- 開發者與承包商的背景審查與 KYC 程序

- 對錢包地址與資金流向的持續監測

- 對供應鏈合作夥伴與外包團隊的合規與安全稽核

隨著北韓 IT 團隊藉由假扮開發者滲透「加密貨幣」與 Web3 生態的案例不斷浮現，業界普遍預期，未來監管機構、制裁單位與鏈上分析公司，將進一步收緊對可疑遠端工作與跨境資金流的監控強度。