鏈上偵探 ZachXBT 揭露一批入侵北韓 IT 工作者裝置取得的內部洩露資料，清單顯示代號「Jerry」領導的 140 人偽裝工程師團隊，自 2025 年 11 月底累計詐得逾 350 萬美元加密貨幣。然而 ZachXBT 指出，這群人的手法其實相當「粗糙」，真正讓業界膽寒的，是 AppleJeus 和 TraderTraitor 這類北韓菁英組織。 本文編譯自 CoinTelegraph （前情提要：北韓駭客遭反殺！ZachXBT 扒出內部支付伺服器資料：假工程師月賺百萬鎂、密碼竟是 123456） （背景補充：安全公司：北韓駭客已滲透 15~20% 加密貨幣企業）   一封未寄出的求職信，戳破了這整套精心包裝的偽裝。信中，北韓 IT 工作者「Jerry」用 Astrill VPN 掩蓋真實 IP，在 Indeed 投遞德州一家 T 恤公司的 WordPress／SEO 專員職缺，時薪 $30 美元、每週 15 至 20 小時。就是這封信，讓一名駭客在入侵 Jerry 裝置後，順手扒出了整個 140 人詐騙團隊的家底。 根據 ZachXBT 在 X 發布的調查報告，內容完整得令人咋舌：內部排行榜、協作平台、區塊鏈錢包地址，乃至成員的假護照照片，一應俱全。 排行榜、共用密碼，像一間科技新創的「業績看板」 Jerry 的團隊在一個名為 luckyguys.site 的網站上統一協調，共用密碼是「123456」。網站內建排行榜，追蹤每位成員自 2024 年 12 月 8 日以來的加密貨幣收入，並附上區塊鏈瀏覽器連結，供管理層隨時核查。 ZachXBT 指出，整個團隊自 2025 年 11 月底啟動至今，累計入帳約 350 萬美元加密貨幣，月均約 100 萬美元，規模不算小，手法卻粗糙。 成員中，部分人員為 OFAC 制裁實體效力，包括 Sobaeksu、Saenal 和 Songkwang，這三個名稱均出現在美國財政部的制裁名單上。 洗錢路徑：加密貨幣 → Payoneer → 中國銀行帳戶 資金流向同樣清晰可追。ZachXBT 在報告中描述，這批人將加密貨幣轉至 Payoneer 等跨境支付平台，再落地至中國銀行帳戶，最終兌換為法幣。 更關鍵的是，涉案錢包地址與 Tether 在 2024 年 12 月列入黑名單的已知北韓錢包存在關聯，資金路徑等同在鏈上留下指紋。 為掩蓋身份，團隊成員採用多層假身份。以代號「Rascal」的成員為例，其裝置中存有偽造的香港帳單地址，以及愛爾蘭護照照片，用於申請遠端工作職位。 ZachXBT：這群人「不夠老練」，更危險的在後面 弔詭的是，ZachXBT 在揭露這批資料後，給出了一個反直覺的評語。他認為，Jerry 團隊的操作水準，遠不如 AppleJeus 和 TraderTraitor 這兩個北韓菁英駭客組織——「後者運作效率更高，對加密貨幣產業構成最大風險」。 換句話說，這 140 人不過是北韓網路犯罪食物鏈的中下層，密碼 123456、求職信露餡、資金路徑留跡，每一個細節都在說明這群人並非頂尖。 真正令資安研究者憂心的，是那些「不會犯這種低階錯誤」的組織。 北韓網路竊盜：自 2009 年累計逾 70 億美元 這份洩露資料曝光的時間點，正值北韓網路攻擊進入高密度階段。據統計，自 2009 年以來，北韓駭客累計竊取加密貨幣逾 70 億美元。 近期大案接連不斷：2025 年 2 月，Bybit 遭竊 14 億美元，創史上最大單次加密貨幣盜竊紀錄；Ronin Network 被盜 6.25 億美元；今年 4 月 1 日，Drift Protocol 也傳出損失 2.8 億美元，疑與北韓有關。 安全研究者警告，北韓 IT 工作者已滲透全球 15 至 20% 的加密貨幣企業，部分甚至以正職身份在公司內部潛伏數月，逐步取得系統許可權。這次 Jerry 團隊的曝光，或許只是冰山一角。 相關報導 ZachXBT全文：反駭北韓駭客裝置後，我明白了他們的「工作」模式 Google Cloud警告：北韓IT間諜攻擊擴大，全球企業應警惕 Bybit內部出包？北韓駭客Lazarus疑似入侵交易所員工電腦 Web3工作多難應徵？幣安CZ列出 「9大拒錄取條件」：草莓族別來，幣圈壓力大 a16z親傳 Web3.0 人才招募絕招：在幣圈動蕩期鎖定優秀員工〈北韓 140 人釣魚假工程師資訊全曝光：薪水每月賺100萬美元，排名網站密碼123456〉。