Как фриланс-хакеры из Северной Кореи создали сеть кражи криптовалют на сумму $680,000

Недавнее расследование выявило тревожную операцию: небольшая группа северокорейских ИТ-оперативников поддерживала как минимум 31 мошенническую личность для проникновения в криптовалютные платформы и проведения масштабных краж. Самым крупным задокументированным инцидентом стала кража $680,000 с рынка фан-токенов Favrr в июне 2025 года.

Стратегия проникновения: создание надежных фриланс-профилей

Разведка, полученная с скомпрометированного устройства, показывает, как эти северокорейские фриланс-хакеры закрепились в криптоиндустрии. Группа создавала сложные прикрытия, собирая полную документацию, включая поддельные государственные удостоверения и номера телефонов. Чтобы казаться легитимными на платформах для найма, они приобретали проверенные аккаунты LinkedIn и Upwork, фактически заимствуя репутацию предыдущих пользователей.

Позиции инженеров-блокчейн и разработчиков смарт-контрактов стали их основными целями. Есть данные, что один из них подал заявку на должность full-stack инженера в Polygon Labs, а транскрипты собеседований показывают, что они претендовали на работу в известных крипто-компаниях, таких как OpenSea и Chainlink. Эти сфабрикованные учетные записи успешно позволили им проникнуть в доверчивые криптовалютные организации.

Операционная инфраструктура: удаленный доступ и цифровое маскирование

После внедрения в криптопроекты, фриланс-хакеры использовали сложное программное обеспечение для удаленного доступа, включая AnyDesk, чтобы выполнять работу, оставаясь физически удаленными от работодателей. Технология VPN скрывала их географическое положение, создавая иллюзию легитимных удаленных сотрудников из других регионов.

Инструменты Google стали центральной частью их операций. Утечки данных показывают, что они управляли графиками проектов, заданиями и бюджетами через Google Drive. Экспорт профилей Chrome свидетельствует о сильной зависимости от сервисов перевода Google для поддержания коммуникации на английском языке при работе из региона, где говорят на другом языке. Финансовые отчеты фиксируют $1,489.8 операционных расходов только за май.

От трудоустройства к эксплуатации: утечка Favrr на сумму $680,000

Расследование выявило прямые связи между этой инфраструктурой и конкретными кражами в криптовалюте. Адрес кошелька 0x78e1a показывал схемы, соответствующие потокам средств после хакерской атаки на Favrr в июне. Доказательства в блокчейне связывают их с лицами, выдающими себя за “Алекса Хонга” и других разработчиков — все они являются частью одной скоординированной северокорейской операции. Эта команда ранее нацеливалась на криптовалютную биржу Bitbit в феврале, организовав кражу на сумму $1.4 миллиарда, что потрясло индустрию.

Кстати, их история поиска выявила сбор разведданных о более широкой инфраструктуре криптовалют — запросы о развертывании токенов ERC-20 на Solana и исследования европейских компаний по развитию ИИ свидетельствуют о расширении целей за пределы первоначальных инцидентов.

Общий риск: почему крипто-компании остаются уязвимыми

Эксперты по безопасности подчеркивают, что эти фриланс-хакеры использовали фундаментальные слабости в процессах найма. Несмотря на относительную простоту методики проникновения, криптовалютные компании постоянно не реализуют должную проверку. Огромное количество заявок на должности разработчиков создает усталость у команд по подбору персонала, что ведет к недостаточной проверке кандидатов.

Фрагментация между крипто-компаниями и платформами для фрилансеров усугубляет проблему. Ни одна из систем не обеспечивает надежных межплатформенных механизмов верификации, оставляя пробелы, которые могут использовать злоумышленники. Санкции Минфина США против двух лиц и четырех организаций, связанных с сетями северокорейских ИТ-работников, демонстрируют осведомленность правительства о угрозе, однако частный сектор по-прежнему не полностью внедряет соответствующие меры безопасности.

Вывод ясен: тщательная проверка биографии, обмен разведданными между платформами и скептицизм к кандидатам с неподходящими географическими профилями — необходимые меры защиты против скоординированных попыток проникновения со стороны государственно спонсируемых фрилансеров, нацеленных на криптовалютный сектор.