L'investigatore on-chain ZachXBT ha intercettato pagamenti effettuati direttamente ai dipendenti IT nordcoreani. Il libro paga suggerisce che un numero sempre maggiore di progetti crypto è esposto a potenziali attacchi informatici da parte dei propri team, o a bug e backdoor introdotti negli smart contract.
Una nuova indagine di ZachXBT ha mostrato che i dipendenti IT identificati come agenti della RPDC continuano a ricevere ingenti stipendi. I team di progetto hanno assunto dipendenti IT internazionali, spesso sotto copertura con profili falsi. Attualmente, una serie di profili sono stati scoperti per essersi infiltrati in progetti blockchain, Web3 e DeFi.
ZachXBT ha scoperto pagamenti per 16,58 milioni di dollari da gennaio 2025, il che indica centinaia di posti di lavoro in progetti crypto.
1/ La mia recente indagine ha scoperto che dal 1° gennaio 2025 sono stati inviati pagamenti per un valore di oltre 16,58 milioni di dollari, ovvero 2,76 milioni di dollari al mese, a dipendenti IT nordcoreani assunti come sviluppatori in vari progetti e aziende.
Per mettere la cosa in prospettiva, i pagamenti vanno dai 3.000 agli 8.000 dollari al mese, il che significa… pic.twitter.com/pjHZG9wJ4r
— ZachXBT (@zachxbt) 2 luglio 2025
Gli indirizzi e i libri paga intercettati suggeriscono che alcuni dipendenti IT abbiano utilizzato identità camuffate e sedi false. La recente rivelazione di ulteriori portafogli e identità è arrivata dopo che il Dipartimento di Giustizia degli Stati Uniti ha represso un recente schema informatico che prendeva di mira aziende statunitensi.
I rischi riguardano il furto di criptovalute, gli attacchi ai token, il drenaggio di liquidità, oltre all'esposizione e al furto di informazioni sensibili.
Le scoperte di ZachXBT seguono anche il recente doxxing di dipendenti IT della RPDC, che si sono rivelati essere creatori di token meme molto attivi o si sono uniti a team di token meme già esistenti. Altre indagini riguardano tentativi di presentarsi come ingegneri civili o persino di cercare ruoli come interior designer . I finti team utilizzano spesso l'intelligenza artificiale come strumento di ricerca e per camuffare la propria identità.
I team IT nordcoreani sono stati scoperti durante le indagini volontarie
Per alcuni, gli hacker nordcoreani nei team crypto sono ancora una teoria del complotto. La maggior parte delle recenti scoperte è legata a operazioni di OSINT, tracciamento e doxxing nella vita reale.
ZachXBT offre anche il monitoraggio dei wallet, spesso collegando noti dipendenti IT con profili social di rilievo, in base alle connessioni dei loro wallet, a noti cluster di wallet hacker nordcoreani. ZachXBT ha avvertito che i dipendenti IT nordcoreani si stanno infiltrando anche nelle aziende tecnologiche tradizionali, ma i progetti crypto spesso consentono un tracciamento più semplice, soprattutto se i loro stipendi sono on-chain.
Per ora, ZachXBT non ha annunciato i nomi dei progetti crypto maggiormente colpiti dagli hacker. In precedenza, persino protocolli consolidati come Waves avevano segnalato smart contract compromessi a causa dell'assunzione di personale IT non verificato.
Anche i dipendenti IT nordcoreani si spacciano per influencer delle criptovalute
All'inizio di giugno, gli investigatori hanno anche evidenziato che diversi influencer di alto profilo del settore crypto, legati a vecchi progetti di meme e NFT, erano anch'essi collegati a gruppi di wallet sospetti . Alcuni degli indirizzi osservati da ZachXBT sono stati inoltre segnalati come collegati al progetto NFT Favvr.
Gli hacker nordcoreani spesso non rimangono a lungo sui progetti, ma il loro coinvolgimento è rischioso anche per un breve periodo. Gli hacker nordcoreani possono ricoprire diversi ruoli nei progetti, incluso l'accesso a wallet multi-sig o altre responsabilità chiave. Poiché i progetti crypto eseguono audit solo a distanza di mesi o anni, alcune piattaforme DeFi, token meme e altre app potrebbero nascondere rischi nascosti per gli exploit.
ZachXBT osserva inoltre che gli hacker sono principalmente attratti da MEXC, così come da exchange statunitensi come Robinhood e Coinbase. Binance, uno dei mercati più utilizzati, non è più adatto, in quanto ha una comprovata esperienza nel congelamento di fondi e nell'assistenza alle autorità nell'intercettazione di account sospetti. Gli informatici nordcoreani ricorrono spesso a USDC, sebbene cerchino di nascondere le transazioni poiché la stablecoin può essere congelata.
KEY Difference Wire : lo strumento segreto utilizzato dai progetti crittografici per ottenere una copertura mediatica garantita