Flashpoint揭露朝鲜黑客如何利用虚假身份获取美国远程IT工作，并盗取8800万美元。了解他们如何利用虚假身份和技术实施诈骗。

朝鲜黑客利用窃取的身份在美国公司和非营利组织获得远程IT职位，六年内至少获利8800万美元。美国司法部于2024年12月12日起诉了14名参与此案的朝鲜公民。安全公司Flashpoint进行了一项独特的调查，分析了黑客自身受感染计算机的数据，以揭示他们的攻击策略以及有关此计划的独家细节。

Flashpoint的调查揭露了起诉书中提到的虚假公司，包括“Baby Box Info”、“Helix US”和“Cubix Tech US”，这些公司被用来伪造简历并提供虚假推荐信。研究人员追踪了受感染的计算机，特别是位于巴基斯坦拉合尔的一台，该计算机保存着与这些虚假实体相关的电子邮件地址的登录凭证。在其中一台机器上发现了用户名“jsilver617”，可能与虚假的美国身份“JS”有关，这台机器曾在2023年用于申请多份科技职位。

一个关键证据是，在受感染计算机的浏览器历史记录中发现，攻击者广泛使用谷歌翻译进行英语和韩语翻译，这暗示了黑客的来源。翻译后的信息揭露了他们伪造工作推荐信的手段，甚至包括伪造公司人员的联系信息。其中一条翻译后的信息冒充“Cubix”的人力资源经理，提供了虚假的就业验证信息。

进一步的沟通暗示了行动内部的等级结构，并讨论了“谍报技巧”，例如在在线会议期间避免使用网络摄像头的策略。一条翻译过来的信息也明显表达了对远程工作人员糟糕表现的不满：“这证明你是个失败者。”

调查还发现了有关运送电子设备（可能是笔记本电脑和手机）用于远程办公的讨论。这与最近报道的“笔记本电脑农场”事件相符。该事件中，美国合作者接收设备供朝鲜工人远程访问，而著名的朝鲜组织Nickel Tapestry被认定为主要实施者。

在本案中，一条翻译过的消息询问了将笔记本电脑运送到尼日利亚的情况。浏览器历史记录显示了国际快递服务的追踪号，其中包括一批可能从迪拜发货的货物。

Flashpoint提供的翻译：

我们需要让阿卜杜勒的声音被听到一周。之后我们可以关掉相机。他们对声音非常敏感。如果他们认为声音没有差异，他们可能不会要求阿卜杜勒打开视频。&op=翻译
---
你知道，有些人已经提交了你的个人资料，当时他们告诉你你的价格很高，并向另一个人提供了报价，但这个报价被撤回了，现在他们已经回填了。请告诉我，我们是否可以在C2C/1099上以每小时65美元的价格提交你的个人档案。这次主要供应商不同，但客户是一样的。&op=翻译
---
你两个月没接到任务，我没有抱怨。但这是另一回事。这证明你是个失败者，如果你这样，你将无法很好地处理这份工作。&op=翻译

调查还发现，受感染的机器上使用了AnyDesk远程桌面软件，这表明朝鲜特工远程访问了美国公司的系统。这一细节凸显了他们直接访问敏感公司网络的能力。

Flashpoint分享的调查报告显示： “自从发现朝鲜秘密特工窃取资金、知识产权和信息以来，财富500强企业、科技和加密货币行业一直在报告更多此类事件。”

Flashpoint通过分析泄露的凭证和信息窃取者日志对这一行动进行了内部观察，详细了解了朝鲜针对美国组织进行的复杂且有利可图的网络欺诈行为。