O investigador on-chain ZachXBT interceptou pagamentos feitos diretamente a trabalhadores de TI da Coreia do Norte. A folha de pagamento sugere que mais projetos de cripto estão expostos a potenciais hacks de suas próprias equipes, ou bugs e portas dos fundos introduzidos em contratos inteligentes.
Uma nova investigação de ZachXBT mostrou folhas de pagamento significativas ainda chegando a trabalhadores de TI descobertos como agentes da DPRK. As equipes de projeto contrataram trabalhadores de TI internacionais, muitas vezes sob disfarce com perfis falsos. Atualmente, uma série de perfis está sendo exposta por infiltração em projetos de blockchain, Web3 e DeFi.
ZachXBT descobriu $16,58M em pagamentos desde janeiro de 2025, apontando para centenas de empregos em projetos de cripto.
1/ Minha investigação recente revelou mais de $16,58M em pagamentos desde 1º de janeiro de 2025 ou $2,76M por mês que foram enviados para trabalhadores de TI da Coreia do Norte contratados como desenvolvedores em vários projetos e empresas.
Para colocar isso em perspectiva, os pagamentos variam de $3K a $8K por mês, o que significa… pic.twitter.com/pjHZG9wJ4r
— ZachXBT (@zachxbt) 2 de julho de 2025
Os endereços e folhas de pagamento interceptados sugerem que alguns dos trabalhadores de TI usaram identidades disfarçadas e locais falsos. A recente revelação de carteiras e identidades adicionais ocorreu após o Departamento de Justiça dos EUA reprimir um recente esquema de TI direcionado a empresas americanas.
Os riscos envolvem o roubo de cripto, ataques contra tokens, drenagem de liquidez, além da exposição e roubo de informações sensíveis.
As descobertas de ZachXBT também seguem o recente doxxing de trabalhadores de TI da DPRK, que se mostraram criadores de tokens de meme altamente ativos ou se juntaram a equipes existentes de tokens de meme. Outras investigações envolvem tentativas de se apresentar como engenheiros civis ou até mesmo procurar papéis como designers de interiores. As equipes falsas frequentemente usam IA como uma ferramenta de pesquisa e para disfarçar sua identidade.
Equipes de TI da Coreia do Norte foram reveladas em investigações voluntárias
Para alguns, hackers norte-coreanos em equipes de cripto ainda são uma teoria da conspiração. A maioria das descobertas recentes está ligada a esforços de OSINT e rastreamento e doxxing na vida real.
ZachXBT também adiciona monitoramento de carteiras, frequentemente vinculando trabalhadores de TI conhecidos a perfis proeminentes nas redes sociais com base em suas conexões de carteira a clusters de carteiras de hackers conhecidos da DPRK. ZachXBT alertou que trabalhadores de TI da Coreia do Norte estão infiltrando empresas de tecnologia tradicionais também, mas projetos de cripto frequentemente permitem um rastreamento mais fácil, especialmente se suas folhas de pagamento estão na blockchain.
Por enquanto, ZachXBT não anunciou os nomes dos projetos de cripto que foram mais afetados por hackers. Anteriormente, até protocolos estabelecidos como Waves relataram contratos inteligentes comprometidos devido à contratação de trabalhadores de TI não verificados.
Trabalhadores de TI da Coreia do Norte também se fazem passar por influenciadores de cripto
No início de junho, investigadores também apontaram vários influenciadores de cripto de alto perfil vinculados a projetos antigos de meme e NFT que também estavam conectados a clusters de carteiras suspeitas. Alguns dos endereços observados por ZachXBT também foram sinalizados como conectados ao projeto de NFT Favvr.
Hackers da DPRK frequentemente não permanecem muito tempo em projetos, mas sua participação é arriscada mesmo com um curto período. Hackers da DPRK podem ter múltiplos papéis em projetos, incluindo acesso a carteiras multi-assinatura ou outras responsabilidades chave. Como os projetos de cripto só realizam auditorias meses ou anos depois, algumas plataformas DeFi, tokens de meme e outros aplicativos podem ter riscos ocultos para explorações.
ZachXBT também observa que os hackers são atraídos principalmente para MEXC, bem como para exchanges baseadas nos EUA, incluindo Robinhood e Coinbase. A Binance, um dos mercados amplamente utilizados, agora é inadequada, pois tem um histórico de congelamento de fundos e assistência às autoridades na interceptação de contas suspeitas. Os trabalhadores de TI da Coreia do Norte frequentemente recorrem ao USDC, embora tentem ocultar as transações, já que a stablecoin pode ser congelada.
Suas notícias sobre cripto merecem atenção - KEY Difference Wire coloca você em mais de 250 sites principais
