Google Docs, Upwork и LinkedIn: Внутри секретные крипто -операции северокорейских ИТ -работников

Исследования популярного блокчейна Sleuth Zachxbt обнаружили обширную северокорейскую инфильтрацию на глобальном рынке работ по развитию криптовалюты.

Недавно неназванный источник, недавно скомпрометирующий устройство, принадлежащее ИТ -работнику КНДР, и дал беспрецедентное понимание того, как небольшая команда из пяти ИТ -работников управляла более чем 30 фальшивыми личностями.

КРК -оперативники наводнили крипто -рынок труда

Согласно твитам Zachxbt, команда КНДР, как сообщается, использовала выпущенные правительством идентификаторы для регистрации учетных записей на Upwork и LinkedIn, чтобы получить роли разработчиков в нескольких проектах. Следователи обнаружили экспорт работников Google Drive, Chrome Profiles и экранирования, которые показали, что продукты Google были центральными для организации графиков, задач и бюджетов, с коммуникациями, которые в основном проводились на английском языке.

Среди документов есть электронная таблица 2025 года, содержащая еженедельные отчеты от членов команды, которые проливают свет на их внутренние операции и мышление. Типичные записи включали такие заявления, как «Я не могу понять требования к работе, и не знать, что мне нужно сделать», с самостоятельными заметками, такими как «Решение / исправление: приложить достаточно усилий в сердце».

Другая электронная таблица отслеживает расходы, показывающие покупки номеров социального страхования, счетов Upwork и LinkedIn, номеров телефонов, подписки на ИИ, проката компьютеров и услуг VPN или прокси. Графики встреч и сценарии для поддельных личностей, в том числе один под названием «Генри Чжан», также были восстановлены.

Сообщается, что в эксплуатационных методах команды были включены покупку или аренду компьютеров, используя AnyDesk для удаленного выполнения работы и преобразование заработанного FIAT в криптовалюту через Payoneer. Один адрес кошелька, 0x78E1, связанный с группой, связан с цепью с эксплойтом в 680 000 долл. США в Favrr в июне 2025 года, где технический директор проекта и другие разработчики были позже идентифицированы в качестве ИТ-работников CRK, использующих мошеннические документы. Дополнительные работники, связанные с КНДР, были подключены к проектам по адресу 0x78e1.

Индикаторы их северокорейского происхождения включают частые использование Google Translate для поиска в корейском языке, проведенных по русскому IP-адресам. Zachxbt сказал, что эти ИТ -работники не особенно сложны, но их настойчивость поддерживается огромным количеством ролей, которые они нацелены по всему миру.

Проблемы с противодействием этим операциям включают плохое сотрудничество между частными компаниями и услугами, а также сопротивление командам, когда сообщается о мошеннической деятельности.

Постоянная угроза Северной Кореи

Северокорейские хакеры, в частности, Lazarus Group, продолжают представлять значительную угрозу для отрасли. В феврале 2025 года группа организовала самый большой криптографический хакер в истории, поскольку она украла в Эфириуме примерно 1,5 миллиарда долларов в Dubai Bybit.

В атаке использовались уязвимости у стороннего поставщика кошелек, Safe {Wallet}, который позволил хакерам обходить меры безопасности с несколькими подписью и фонды Siphon в несколько кошельков. ФБР приписало нарушение северокорейским оперативникам, обозначив его «трейдертрийр».

Впоследствии, в июле 2025 года, CoinDCX, индийская биржа криптовалют, стала жертвой ограбления в 44 миллиона долларов, что также было связано с Lazarus Group. Атакующие проникли в инфраструктуру ликвидности CoinDCX, используя открытые внутренние учетные данные для выполнения кражи.

Источник: cryptospy.ru