北韓假工程師黑色工廠全面曝光，140 人遠端勞工每月賺百萬美金！

2026 年 4 月 8 日，鏈上調查員 ZachXBT 公開一批據稱來自北韓遠端 IT 勞工內部支付系統的外洩資料，內容涉及約 390 個帳號、聊天紀錄、假身分素材與加密貨幣交易軌跡，並指向一個核心約 140 人的運作團隊。

外洩資料顯示，該網路以假身分應徵科技與加密貨幣相關遠端職位，透過內部平台統一回報收入、核發帳密與追蹤績效，自 2025 年 11 月底以來累計處理逾 350 萬美元資金，月均規模約 100 萬美元。更令人震驚的是，這套高風險跨境詐騙與滲透機制，竟被揭露使用極弱的共用密碼「123456」，並設有內部排行榜與管理帳號，呈現出近似企業化、流程化、工廠化的運作模式。

此案之所以重要，不在於單一醜聞，而在於它再次證明：北韓的加密貨幣威脅已不再只是「駭客入侵」，而是將假求職、遠端工作、薪資洗錢、內鬼竊取與制裁規避整合成完整產業鏈。

一、背景脈絡

北韓利用海外 IT 勞工為政權創造外匯收入，並非新近出現的偶發現象，而是多年來逐步制度化、跨國化的收入生成機器。美國、南韓與多國機構自 2022 年起便持續警告，北韓技術人員會利用假證件、盜用身分、VPN、遠端桌面工具與第三方協力者，假冒他國工程師或自由工作者，滲透外國企業與科技平台，部分案例更進一步演變為資料外洩、勒索、程式碼竊取與資金洗錢。

到 2024 年底，美國司法部已起訴 14 名北韓籍涉案人員；到 2025 年，美國又公布多起全國性執法行動、查緝「筆電農場」與洗錢帳戶；到 2026 年 3 月，美國財政部再制裁多名個人與實體，並指出相關 IT 工作者計畫在 2024 年就為北韓創造近 8 億美元收入。

也就是說，這次曝光的 140 人團隊並不是孤立案例，而是更大規模北韓海外收入網中的一個具象切片。

二、事件起點

根據知名鏈上分析師 ZachXBT 於 2026 年 4 月 8 日發布的調查內容，這批資料來自一名北韓 IT 工作者裝置遭入侵後所外洩的內部資訊，當中包含 IPMsg 聊天紀錄、瀏覽紀錄、假身分資料與支付系統相關資訊。

根據 AZAlpha 平台研究員綜合分析，結合 ZachXBT 原始帖文、知名主流媒體對若干細節的掌握，多個來源對核心事實的描述高度一致，包括存在一個名為 luckyguys[.]site 的內部支付或匯款平台、存在管理帳號與統一回報機制、以及該網路與北韓遠端 IT 勞工行動之間的高度關聯。

就事實查核標準而言，這些內容目前可視為高度可信、但部分原始素材仍待完整公開驗證的狀態。

三、組織規模

這起事件最驚人的一點，在於外洩資料所呈現出的組織化程度。資料庫中共涉及約 390 個帳號，而其中由代號「Jerry」領導的主力團隊約 140 人，被視為主要收入生產核心。

這 140 人並非單純鬆散合作，而是被放進一套有層級、有帳務、有績效追蹤的運作系統中；平台內甚至設有排行榜，追蹤自 2025 年 12 月 8 日以來各成員為組織帶來多少加密貨幣收入，並附上區塊鏈瀏覽器連結供管理層核對。

這種結構意味著北韓遠端 IT 網路已不是單兵作戰，而更像一間隱形外包公司，只是它輸出的不是合法程式服務，而是制裁規避、滲透與黑色收入。

四、內部平台與管理模式

外洩資料揭露的 luckyguys[.]site 並不只是聊天工具，而更像是內部結算、匯款回報與指令下達的中樞。多個報導都提到，成員會在平台上回報收款情況，管理方則透過名為「PC-1234」的管理帳號確認到帳後，再發放後續所需的帳密或工作憑證。

這表示該平台在組織內部扮演了「財務控台 + 任務協調器 + 監控面板」的角色，與一般外界對北韓網路犯罪集團的想像不同，它並非只靠技術爆破，而是同樣倚重流程治理、權限分派與營運紀律。

從國安與企業風控角度來看，這也意味著北韓相關威脅已越來越接近企業化服務供應鏈，而非單純的散點型駭客活動。

五、「123456」的荒謬與警訊

最具戲劇性的細節，是這套處理百萬美元等級資金流的內部平台，竟被揭露有多名成員仍沿用預設密碼「123456」。

表面看來，這像是一則諷刺黑色幽默；但深層意義恰恰相反。

第一，這顯示這個團隊雖能熟練偽造身分、跨境洗錢並滲透招聘流程，卻未必代表所有成員都具備高階資安素養。

第二，這種低級操作失誤，恰恰讓外界得以窺見其內部結構，說明北韓網路收入體系內部也存在層級差異，有些前線工作者更像是受控、被管理、被量化考核的勞動者，而不一定是頂尖攻擊者。

第三，這也提醒外界不能因對手犯下愚蠢錯誤就低估整體威脅，因為真正高階、幾乎不留痕的團隊，很可能仍在更深處運作。

六、假身分與求職滲透機制

外洩內容顯示，成員會使用 VPN 存取 Gmail、在求職平台投遞全端工程師與軟體工程師職缺，並準備偽造的住址帳單、護照影像與其他身份支持材料，以配合遠端求職與入職驗證流程。

這些細節與 FBI、司法部及產業研究近年公布的模式完全吻合：北韓 IT 工作者通常利用被竊或偽造身分應徵遠端職位，在面試、入職與日常工作中持續掩飾自己的地理位置與真實國籍，有時甚至使用 AI 臉部替換或聲音技術混淆招聘方。

這代表該事件並不是全新作案模式，而是將既有已知模式以極高解析度呈現在世人面前。

七、從薪資到洗錢的資金流

依據外洩資料與後續轉述，這個網路的資金流大致呈現一致模式：成員先從加密貨幣交易所或相關服務取得款項，再透過如 Payoneer 之類的跨境支付工具，將數位資產或其對價轉為法幣，最後流入中國銀行帳戶。

自 2025 年 11 月底以來，追蹤到的支付錢包累計處理超過 350 萬美元，平均每月約 100 萬美元。這種路徑之所以重要，是因為它將「取得薪資」與「制裁規避洗錢」連成同一條流水線：表面是遠端勞務收入，實際上是為政權創匯、掩護資金來源並削弱制裁效果的資金工程。

八、鏈上痕跡與制裁關聯

報導指出，部分地址與已知北韓相關錢包存在鏈上關聯，且至少有一個 Tron 地址曾遭 Tether 凍結。更關鍵的是，使用者清單中出現了 Sobaeksu、Saenal、Songkwang 等名稱，而這些名稱與美國制裁體系中已被點名的北韓相關實體相互呼應。

雖然單一清單名稱並不能自動構成法律定罪，但當外洩資料中的帳號、聊天、地址、支付模式與既有制裁資料相互交叉比對後，其證據價值便顯著提高。這也是為什麼外界將本案視為不只是「又一起北韓鏈圈新聞」，而是對既有制裁情報的一次內部驗證。

九、與既有執法資料的對照

若把本案放回近兩年的執法圖譜觀察，輪廓會更清晰。2024 年 12 月，美國起訴 14 名北韓籍 IT 工作者，指出其利用中國與俄羅斯境內的北韓控制公司，以假、借、竊身分進入美國企業與非營利組織。2025 年 6 月，美國司法部又宣布全國性協同行動，包含搜索 16 州、29 個疑似筆電農場，並查扣多個洗錢帳戶與詐騙網站。

2025 年 7 月，美國法院對協助北韓 IT 工作者取得遠端職位的美國協力者判刑，案件顯示超過 300 家公司曾受波及，非法收入超過 1,700 萬美元。

這些官方案件共同說明：北韓 IT 勞工問題不是零星詐欺，而是已深入企業招聘、支付、設備寄送、遠端登入與資金清洗等多個環節。

十、為何加密貨幣產業特別危險

加密貨幣與 DeFi 領域之所以成為高危險目標，有幾個結構性原因。

首先，產業高度全球化、遠端協作常態化，讓地理驗證與實體到場本就相對寬鬆。

其次，許多專案重視速度與技術輸出，招聘時往往優先看 GitHub、履歷與面試表現，而非完整的法遵與背景調查。

第三，穩定幣、多鏈轉帳、跨鏈橋、DEX 與 OTC 渠道為資金層層轉移提供天然基礎。

Chainalysis 與其他安全機構均指出，北韓 IT 工作者經常要求以穩定幣收款，並利用鏈上換幣、跨鏈與主流交易所帳戶進行混同與分層。換言之，鏈圈不是只是「比較容易被騙」，而是其結構本身就與對手的資金回流需求高度相容。

十一、從滲透到竊取：威脅已經升級

FBI 在 2025 年 1 月明確警告，北韓 IT 工作者近來已不再只是安靜領薪，而是會在身分曝光或遭發現後，進一步外流公司機密、複製程式碼庫、竊取憑證、擴張內網存取權限，甚至以外洩資料進行勒索。美國司法部在 2025 年 6 月的案件中也指出，有些團隊不僅假冒員工取得收入，還曾在區塊鏈研發公司竊走超過 90 萬美元虛擬資產。

因此，本案的真正恐怖之處不只是「假工程師賺走百萬美元」，而是這些人一旦被聘入核心系統，可能同時兼具收入生成者、內部威脅者與未來竊資者三重身份。

十二、這些人不是最強的

根據 ZachXBT 與 AZAlpha 平台研究員的觀察，認為這次曝光的團隊技術與營運細緻度，未必能與 AppleJeus、TraderTraitor 或 Lazarus（Bybit 交易所被盜事件主要駭客集團）等更成熟的北韓網路行動相提並論。

這個評價乍看像是在降低事件嚴重性，但實際上恰恰增加了警報等級。原因很簡單：如果連會犯下共用弱密碼、留下清楚資金路徑、在假身分材料上露出破綻的團隊，都已經能長期滲透科技與加密貨幣產業、每月創造百萬美元收入，那麼那些紀律更高、流程更嚴密、攻擊能力更成熟的團隊，對產業所構成的風險只會更大。

十三、這起事件折射出的治理失敗

這宗外洩事件同時暴露的，並不只是北韓網路的組織化，也包括全球企業治理的鬆散。若一家企業在遠端招聘時無法驗證候選人身分、在設備寄送與登入異常上缺乏追蹤、在原始碼權限與錢包權限管理上過度寬鬆，那麼它其實是在用自己的流程漏洞，替對方建立收入管道。

FBI 的建議已講得非常具體，包括最小權限原則、監控不同國家短時間多點登入、檢查重複履歷內容、加強招聘時的身份核驗、審查第三方人力公司，甚至盡可能將入職流程實體化。今天回頭看，許多受害企業不是不知道風險，而是把「速度」放在了「驗證」之前。

十四、國安與金融秩序層面的意義

美國財政部在 2026 年 3 月指出，相關 IT 工作者計畫在 2024 年為北韓創造近 8 億美元收入，並直接服務於其武器與彈道飛彈計畫。

這意味著企業在一場看似普通的遠端招募中，支付的可能不只是薪資，而是某個受制裁政權的戰略資金。當這筆錢再透過穩定幣、跨鏈路徑、OTC 與跨境支付工具層層轉手，問題就不再只是個別公司被詐，而是全球金融制裁體系、科技外包市場與加密資產治理機制同時承受壓力。

因此，這起事件不只是鏈圈醜聞，也是一則典型的金融安全與國家安全交叉案例。

總結

這起事件給市場的啟示極為殘酷：未來最危險的敵人，不一定是直接攻破防火牆的人，而可能是成功通過面試、簽了合約、每天準時回報進度、還能在 Slack 裡和你自然互動的同事。

北韓遠端 IT 工作者模式之所以可怕，是因為它把國家級威脅偽裝成日常營運的一部分，把資金回流偽裝成薪資，把滲透偽裝成外包，把未來竊資風險偽裝成已錄用的工程能力。

對加密貨幣專案、科技公司、支付平台與人資體系而言，真正需要重建的已不是單一資安工具，而是整套「招聘—權限—支付—監控—法遵」的一體化防線。

否則，今天曝光的是 140 人、350 萬美元與一個荒謬的「123456」；明天未被曝光的，可能就是更安靜、更專業、也更致命的下一個內部帝國。