एक उत्तर कोरियाई आईटी कर्मचारी के डिवाइस से मिले स्क्रीनशॉट के अनुसार, उत्तर कोरियाई आईटी कर्मचारियों की एक छोटी टीम, जो जून में $680,000 के क्रिप्टो हैक से जुड़ी है, क्रिप्टो प्रोजेक्ट्स में घुसपैठ करने के लिए गूगल प्रोडक्ट्स का इस्तेमाल कर रही है और यहां तक कि कंप्यूटर भी किराए पर ले रही है।
बुधवार को ZachXBT की एक एक्स (X) पोस्ट में, क्रिप्टो जासूस ने एक उत्तर कोरियाई डीपीआरके (DPRK) हैकर के काम करने के तरीके के बारे में एक दुर्लभ जानकारी साझा की। यह जानकारी "एक अज्ञातस्रोत" से मिली, जो उनके एक डिवाइस से समझौता करने में कामयाब रहा।
उत्तर कोरिया से जुड़े कर्मचारी फरवरी में क्रिप्टो एक्सचेंज बिटबिट (Bitbit) के $1.4 बिलियन के दुरुपयोगके लिए जिम्मेदार थे और इन वर्षों में क्रिप्टो प्रोटोकॉल से लाखों की चोरी कर चुके हैं।
डेटा से पता चलता है कि छह उत्तर कोरियाई आईटी कर्मचारियों की छोटी टीम कम से कम 31 नकली पहचानें साझा करती है, जो अपनी असली पहचान छिपाने और क्रिप्टो जॉब पाने के लिए सरकारी आईडी (ID) और फोन नंबर से लेकर लिंक्डइन (LinkedIn) और अपवर्क (Upwork) अकाउंट खरीदने तक सब कुछ हासिल कर लेती है।
माना जाता है कि एक कर्मचारी ने पॉलीगॉन लैब्स (Polygon Labs) में फुल-स्टैक (full-stack) इंजीनियर की नौकरी के लिए इंटरव्यू दिया था, जबकि दूसरे सबूतों में स्क्रिप्टेड (scripted) इंटरव्यू जवाब भी दिखाए गए, जिनमें उन्होंने एनएफटी (NFT) मार्केटप्लेस ओपनसी (OpenSea) और ब्लॉकचेन ऑरेकल (Oracle) प्रोवाइडर चेनलिंक (Chainlink) में अनुभव होने का दावा किया था।
गूगल, रिमोट वर्किंग सॉफ्टवेयर
लीक हुए दस्तावेजों से पता चलता है कि उत्तर कोरियाई आईटी कर्मचारियों ने अपवर्क जैसे फ्रीलांस प्लेटफार्मों पर "ब्लॉकचेन डेवलपर" और "स्मार्ट कॉन्ट्रैक्ट इंजीनियर" जैसी भूमिकाएं हासिल कीं, फिर अनजान नियोक्ताओं (Employer) के लिए काम करने के लिए एनीडेस्क (AnyDesk) जैसे रिमोट एक्सेस (access) सॉफ्टवेयर का इस्तेमाल किया। उन्होंने अपनी लोकेशन छिपाने के लिए वीपीएन (VPNs) का भी इस्तेमाल किया।
गूगल ड्राइव (Google Drive) के एक्सपोर्ट्स और क्रोम प्रोफाइल्स ने दिखाया कि उन्होंने शेड्यूल, टास्क और बजट मैनेज करने के लिए गूगल टूल्स का इस्तेमाल किया और गूगल के कोरियन-टू-इंग्लिश अनुवाद टूल का इस्तेमाल करते हुए अंग्रेजी में बात की।
एक स्प्रेडशीट से पता चला कि आईटी कर्मचारियों ने अपने ऑपरेशन को अंजाम देने के लिए मई में कुल $1,489.8 खर्च किए।
हाल ही में हुए $680,000 के क्रिप्टो हैक से जुड़े उत्तर कोरियाई आईटी कर्मचारी
ZachXBT ने कहा कि उत्तर कोरियाई लोग अक्सर अपने काम के लिए फिएट (fiat) को क्रिप्टो में बदलने के लिए पेओनीर (Payoneer) का इस्तेमाल करते हैं, और उन वॉलेट एड्रेस में से एक—"0x78e1a"—जून 2025 में फैन-टोकन मार्केटप्लेस फेवआर पर हुए $680,000 के अनुचित लाभसे "घनिष्ठ रूप से जुड़ा हुआ" है।
उस समय, ZachXBT ने आरोप लगाया था कि प्रोजेक्ट के चीफ टेक्नोलॉजी ऑफिसर, जिन्हें "एलेक्स हांग" (Alex Hong )के नाम से जाना जाता था, अन्य डेवलपर्स के साथ, भेष बदलकर काम करने वाले डीपीआरके (DPRK) कर्मचारी थे।
साक्ष्य ने उनकी रुचि के क्षेत्रों के बारे में भी जानकारी दी। एक सर्च में पूछा गया कि क्या ईआरसी-20 (ERC-20) टोकन को सोलाना (Solana) पर तैनात किया जा सकता है, जबकि दूसरे ने यूरोप केशीर्ष एआई (AI) डेवलपमेंट कंपनियों के बारे में जानकारी मांगी।
क्रिप्टो फर्मों को और अधिक सावधानीकरने की जरूरत है
ZachXBT ने क्रिप्टो और टेक फर्मों से संभावित कर्मचारियों पर और अधिक काम करने का आह्वान किया, यह देखते हुए कि इनमें से कई ऑपरेशन बहुत परिष्कृत (sophisticated)नहीं हैं, लेकिन आवेदनों की संख्या अक्सर हायरिंग टीमों को लापरवाह बना देती है।
उन्होंने आगे कहा कि टेक फर्मों और फ्रीलांस प्लेटफार्मों के बीच सहयोग की कमी इस समस्या को बढ़ादेती है।
पिछले महीने, अमेरिकी ट्रेजरी ने अपने हाथों में मामला लिया, जिसमें उत्तर कोरिया द्वारा संचालित आईटी कर्मचारी रिंग में शामिल दो लोगों और चार संस्थाओं पर प्रतिबंध लगाया गया, जो क्रिप्टो फर्मों में घुसपैठ कर रही थीं।