Як фріланс-хакери з Північної Кореї створили мережу крадіжки криптовалюти на суму $680,000

Нещодавнє розслідування викрило тривожну операцію: невелика група північнокорейських ІТ-оперативників підтримувала щонайменше 31 шахрайську особу для проникнення у криптовалютні платформи та проведення масштабних крадіжок. Найбільший задокументований інцидент стосувався крадіжки $680,000 з ринку фан-токенів Favrr у червні 2025 року.

Стратегія проникнення: створення надійних профілів фрілансерів

Зібрані дані з компрометованого пристрою показують, як ці північнокорейські фріланс-хакери закріпилися у криптоіндустрії. Група створювала складні прикриття, формуючи повний пакет документів, включаючи підроблені урядові посвідчення та номери телефонів. Щоб виглядати легітимно на платформах для найму, вони купували вже існуючі акаунти LinkedIn та Upwork, фактично позичаючи репутацію попередніх користувачів.

Позиції інженерів-блокчейн-розробників та ролі у розробці смарт-контрактів стали їх основною ціллю. Свідчення свідчать, що один із них подав заявку на посаду повноцінного інженера у Polygon Labs, тоді як транскрипти співбесід показують заяви про попереднє працевлаштування у відомих крипто-компаніях, таких як OpenSea та Chainlink. Ці сфабриковані дані успішно дозволили їм проникнути у довірливі криптовалютні організації.

Операційна інфраструктура: віддалений доступ і цифрове маскування

Після проникнення у криптопроекти, фріланс-хакери використовували складне програмне забезпечення для віддаленого доступу, зокрема AnyDesk, щоб виконувати роботу, зберігаючи фізичну дистанцію від роботодавців. Технологія VPN приховувала їхнє географічне розташування, створюючи ілюзію легітимних віддалених працівників з інших регіонів.

Інструменти Google стали центральними у їхній діяльності. Витеклі дані показують, що вони керували графіками проектів, завданнями та бюджетами через Google Drive. Експорт профілів у Chrome демонструє сильну залежність від сервісів перекладу Google для підтримки англомовної комунікації під час роботи з регіонами, де не говорять англійською. Фінансові записи за травень фіксують операційні витрати у розмірі $1,489.8.

Від працевлаштування до експлуатації: злом Favrr на $680,000

Розслідування встановило прямий зв’язок між цією інфраструктурою та конкретними крадіжками у криптовалюті. Адреса гаманця 0x78e1a показує закономірності, що відповідають потокам коштів із хакерської атаки на Favrr у червні. Свідчення у блокчейні пов’язують це з особами, які представляються як “Alex Hong” та іншими розробниками — всі вони є частиною однієї скоординованої північнокорейської операції. Ця команда раніше цілеспрямовано атакувала криптовалютну біржу Bitbit у лютому, організувавши крадіжку на $1.4 мільярда, що шокувало індустрію.

Між іншим, їх історія пошуку показала збір розвідданих про ширшу криптоінфраструктуру — запити щодо розгортання ERC-20 токенів на Solana та дослідження європейських компаній з розробки штучного інтелекту свідчать про розширення цілей за межі початкових інцидентів.

Ширший ризик: чому криптокомпанії залишаються вразливими

Дослідники безпеки наголошують, що ці фріланс-хакери використали фундаментальну слабкість у процесах найму. Незважаючи на відносну простоту методів проникнення, криптофірми постійно не впроваджують належну перевірку кандидатів. Величезна кількість заявок на посади розробників створює втомлюваність у командах з підбору персоналу, що призводить до недостатньої перевірки.

Фрагментація між криптовалютними компаніями та платформами для фрілансерів посилює проблему. Жодна з систем не підтримує надійних міжплатформених систем верифікації, залишаючи прогалини, які можуть використовувати зловмисники. Санкції Міністерства фінансів США проти двох осіб і чотирьох організацій, залучених до мереж північнокорейських ІТ-спеціалістів, демонструють урядову обізнаність про загрозу, але приватний сектор досі не послідував цим заходам у повній мірі.

Урок очевидний: ретельна перевірка біографії, обмін розвідданими між платформами та скептицизм щодо кандидатів із географічними розбіжностями є необхідними заходами для захисту від скоординованих проникнень з боку державних спонсорованих фрілансерів, що цілеспрямовано атакують сектор криптовалют.