ZachXBT раскрыл схему внедрения северокорейских хакеров в криптокомпании

Расследование блокчейн-аналитика ZachXBT показало, как группа хакеров из КНДР пыталась встроиться в глобальную криптоиндустрию. Поводом для раскрытия информации стал взлом аккаунта одного из участников группировки, причастной к краже $680 000.

Шесть граждан КНДР создали более 30 фальшивых профилей, выдавая себя за опытных блокчейн-разработчиков. Поддельные резюме, аккаунты в LinkedIn и Upwork, выдуманный опыт работы в OpenSea и Chainlink — всё это использовалось для трудоустройства в ведущие криптопроекты. Один из кандидатов даже дошёл до этапа собеседования в Polygon Labs.

Злоумышленники использовали AnyDesk для удалённой работы, VPN для маскировки IP и Google Workspace для коммуникации. В мае их затраты на операционную деятельность составили $1489. Расчёты проводились через Payoneer, а один из кошельков был связан с атакой на Favrr в июне 2025 года.

Доступ к поисковой истории выявил интерес к развёртыванию ERC-20 на Solana и вопросам, связанным с определением северокорейской принадлежности кандидатов. Обнаружено и систематическое использование Google Translate через российские IP-адреса.

Главный директор по безопасности Binance Джимми Су заявил, что северокорейские хакеры направляют бирже поддельные резюме каждый день. Их тактики усложнились: помимо дипфейков, они применяют голосовые модуляторы на собеседованиях. Вычислить таких кандидатов помогает простая проверка — закрытие лица рукой, при котором фейк даёт сбой.

Среди типичных признаков принадлежности к Lazarus — работа в несколько смен без перерывов и высокая производительность. Lazarus также известен заражением NPM-библиотек и фишинговыми «собеседованиями» с целью установки вредоносного ПО.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Вернуться наверх