Блокчейн-детектив ZachXBT сообщил о взломе аккаунта IT-специалиста из Северной Кореи, связанного с кражей $680 000. Инцидент пролил свет на методы работы группы из шести граждан КНДР, которые создали более 30 фальшивых личностей для трудоустройства в криптопроекты.

Для создания убедительных резюме злоумышленники покупали поддельные документы, а также аккаунты на LinkedIn и Upwork. В одном из случаев кандидат от имени «Генри Чана» указывал опыт работы в OpenSea, Chainlink Labs и GreenBay, а также пытался устроиться в Polygon Labs на позицию фулл-стек инженера.

Хакеры работали удалённо через AnyDesk, скрывали геолокацию с помощью VPN и использовали Google-сервисы для планирования задач. В мае их операционные расходы составили $1489, включая аренду компьютеров и платный софт. Финансовые операции велись через Payoneer. Один из кошельков был связан с июньской атакой на маркетплейс Favrr, в результате которой было похищено $680 000.

История поиска взломанного аккаунта показала запросы о развёртывании ERC-20 на Solana, о ведущих AI-компаниях Европы, а также частый вопрос «как понять, что они — северокорейцы?». Активно использовался Google Translate с переводами с корейского на английский через российский IP.

По словам ZachXBT, компании часто недооценивают угрозу из-за загруженности HR-отделов и недостатка взаимодействия с государственными органами. Главный директор по безопасности Binance Джимми Су отметил, что ежедневно получает поддельные резюме от северокорейцев. Сегодня такие кандидаты применяют дипфейки и голосовые модуляторы, имитируя специалистов из Европы или Ближнего Востока.

Среди характерных признаков — задержки в ответах из-за медленного соединения и работы переводчиков, а также высокая производительность без перерывов на сон — маркер, указывающий на связь с группировкой Lazarus. Помимо трудоустройства, Lazarus занимается заражением NPM-библиотек и проведением фишинговых «собеседований» для установки вредоносов.

Источник