Антихакерська акція розкрила секрети північнокорейських ІТ-працівників: фальшиві особи проникають у компанії з шифрування, причетні до справи про хакерство на 680 тисяч доларів.
Операція проти IT-працівників Північної Кореї, що мала на меті запобігання хакерським атакам, випадково відкрила деталі їхнього проникнення в глобальні криптоактиви компаній. Згідно зі скріншотами та документами, опублікованими криптовалютним розслідувачем ZachXBT, ця маленька команда пов'язана не лише зі зломом криптоактивів на 680 тисяч доларів, що стався в червні, але й довгостроково використовує підроблені особистості, фріланс-платформи та віддалені інструменти, успішно проникаючи в кілька Блокчейн та Web3 проектів.
Відкриття внутрішніх операцій проти хакерських атак
!
(джерело: ZachXBT)
ZachXBT зазначає, що ця партія даних походить від анонімної особи, яка успішно зламала пристрій одного з північнокорейських працівників. Скриншоти показують, що команда складається з 6 північнокорейських IT-робітників, які мають принаймні 31 фальшиву особистість, від підроблених державних документів, номерів телефонів до покупок облікових записів LinkedIn та UpWork, спеціально призначених для подання заявок на посади "розробника Блокчейн" та "інженера смарт-контрактів".
Навіть були члени, які вдавали з себе інженерів, які раніше працювали в OpenSea та Chainlink, і брали участь в співбесіді на посаду повного стек-інженера в Polygon Labs.
Методи проникнення: платформа для фрілансу + віддалені інструменти
!
(джерело: ZachXBT)
Витік документів показує, що ці північнокорейські працівники отримують замовлення через платформи, такі як UpWork, і використовують такі інструменти, як AnyDesk і VPN, щоб віддалено входити в системи роботодавців, приховуючи своє справжнє місце розташування. Вони в основному використовують Google Drive, Google Календар і корейсько-англійські інструменти перекладу для співпраці, записи витрат на операційні витрати показують, що тільки в травні вони витратили 1,489.8 доларів США на відповідні операції та оренду обладнання.
пов'язаний з атакою на 680 тисяч доларів
Дослідження виявило, що одна з адрес криптогаманця 0x78e1a безпосередньо пов'язана з вразливістю на ринку фанатських токенів Favrr в червні 2025 року на суму 680 000 доларів.
ZachXBT зазначив, що тоді головний технічний директор Favrr «Alex Hong» та кілька розробників насправді були північнокорейськими IT-робітниками, які маскувалися під іноземних інженерів. Ці кошти в кінцевому підсумку були перетворені через Payoneer на Криптоактиви для фінансування їхніх дій.
Цілі та ризики: не лише сфера шифрування
З огляду на записи пошуку, команда не лише зосереджується на крос-ланцюговому розгортанні ERC-20 та Solana, а й проводить розслідування провідних AI-компаній Європи, що вказує на те, що їх цілі проникнення можуть розширитися на штучний інтелект та інші високі технології.
ZachXBT закликає компанії шифрування та технологій посилити перевірку кандидатів на роботу і збільшити співпрацю між платформами вільних професій та підприємствами, щоб запобігти подібним проникненням.
Заключення
Ця антикібератакова операція виявила високу ефективність та прихованість проникнення IT-спеціалістів Північної Кореї в криптоіндустрію — від фальшивих особистостей, віддаленого контролю до безпосередньої участі в кібератаках, весь процес вже став високорозвиненим. З огляду на нещодавні санкції, накладені Міністерством фінансів США на відповідних осіб та юридичних осіб, галузь повинна усвідомити, що ця "невидима війна" проти крипто- та технологічної сфери продовжує ескалувати. Більше інформації про безпеку Блокчейн та розслідування, будь ласка, слідкуйте за офіційною платформою Gate.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Антихакерська акція розкрила секрети північнокорейських ІТ-працівників: фальшиві особи проникають у компанії з шифрування, причетні до справи про хакерство на 680 тисяч доларів.
Операція проти IT-працівників Північної Кореї, що мала на меті запобігання хакерським атакам, випадково відкрила деталі їхнього проникнення в глобальні криптоактиви компаній. Згідно зі скріншотами та документами, опублікованими криптовалютним розслідувачем ZachXBT, ця маленька команда пов'язана не лише зі зломом криптоактивів на 680 тисяч доларів, що стався в червні, але й довгостроково використовує підроблені особистості, фріланс-платформи та віддалені інструменти, успішно проникаючи в кілька Блокчейн та Web3 проектів.
Відкриття внутрішніх операцій проти хакерських атак
!
(джерело: ZachXBT)
ZachXBT зазначає, що ця партія даних походить від анонімної особи, яка успішно зламала пристрій одного з північнокорейських працівників. Скриншоти показують, що команда складається з 6 північнокорейських IT-робітників, які мають принаймні 31 фальшиву особистість, від підроблених державних документів, номерів телефонів до покупок облікових записів LinkedIn та UpWork, спеціально призначених для подання заявок на посади "розробника Блокчейн" та "інженера смарт-контрактів".
Навіть були члени, які вдавали з себе інженерів, які раніше працювали в OpenSea та Chainlink, і брали участь в співбесіді на посаду повного стек-інженера в Polygon Labs.
Методи проникнення: платформа для фрілансу + віддалені інструменти
!
(джерело: ZachXBT)
Витік документів показує, що ці північнокорейські працівники отримують замовлення через платформи, такі як UpWork, і використовують такі інструменти, як AnyDesk і VPN, щоб віддалено входити в системи роботодавців, приховуючи своє справжнє місце розташування. Вони в основному використовують Google Drive, Google Календар і корейсько-англійські інструменти перекладу для співпраці, записи витрат на операційні витрати показують, що тільки в травні вони витратили 1,489.8 доларів США на відповідні операції та оренду обладнання.
пов'язаний з атакою на 680 тисяч доларів
Дослідження виявило, що одна з адрес криптогаманця 0x78e1a безпосередньо пов'язана з вразливістю на ринку фанатських токенів Favrr в червні 2025 року на суму 680 000 доларів.
ZachXBT зазначив, що тоді головний технічний директор Favrr «Alex Hong» та кілька розробників насправді були північнокорейськими IT-робітниками, які маскувалися під іноземних інженерів. Ці кошти в кінцевому підсумку були перетворені через Payoneer на Криптоактиви для фінансування їхніх дій.
Цілі та ризики: не лише сфера шифрування
З огляду на записи пошуку, команда не лише зосереджується на крос-ланцюговому розгортанні ERC-20 та Solana, а й проводить розслідування провідних AI-компаній Європи, що вказує на те, що їх цілі проникнення можуть розширитися на штучний інтелект та інші високі технології.
ZachXBT закликає компанії шифрування та технологій посилити перевірку кандидатів на роботу і збільшити співпрацю між платформами вільних професій та підприємствами, щоб запобігти подібним проникненням.
Заключення
Ця антикібератакова операція виявила високу ефективність та прихованість проникнення IT-спеціалістів Північної Кореї в криптоіндустрію — від фальшивих особистостей, віддаленого контролю до безпосередньої участі в кібератаках, весь процес вже став високорозвиненим. З огляду на нещодавні санкції, накладені Міністерством фінансів США на відповідних осіб та юридичних осіб, галузь повинна усвідомити, що ця "невидима війна" проти крипто- та технологічної сфери продовжує ескалувати. Більше інформації про безпеку Блокчейн та розслідування, будь ласка, слідкуйте за офіційною платформою Gate.