Северокорейские хакеры взломали криптоплатформу на $680 тыс

Небольшая группа IT-специалистов из КНДР, скрывающихся под 31 фальшивой личностью, связана с взломом платформы Favrr в июне 2025 года. Об этом свидетельствуют данные, полученные при взломе устройства одного из злоумышленников.

Хакеры использовали продукты Google и даже арендовали компьютеры для проникновения в криптопроекты, согласно недавно опубликованным скриншотам с устройств одного из этих сотрудников.

В посте X от ZachXBT в среду крипто-сыщик поделился редким взглядом на работу северокорейского (КНДР) хакера. Информация поступила от «неназванного источника», которому удалось взломать одно из их устройств.

Связанные с Северной Кореей специалисты ответственны за взлом криптовалютной биржи Bitbit на сумму $1,4 млрд в феврале и за эти годы вывели миллионы из криптопротоколов.

Данные показывают, что небольшая группа из шести северокорейских IT-специалистов использует как минимум 31 поддельную личность, используя все: от удостоверений личности и номеров телефонов государственных органов до приобретения аккаунтов в LinkedIn и UpWork, чтобы скрыть свою настоящую личность и получить работу в сфере криптовалют.

Один из сотрудников, предположительно, проходил собеседование на должность инженера полного цикла в Polygon Labs, в то время как другие доказательства показали заготовленные ответы на собеседовании, в которых утверждается, что кандидат имеет опыт работы на торговой площадке NFT OpenSea и поставщике блокчейн-оракулов Chainlink.

Поддельный список личностей, участвовавших в северокорейской мошеннической операции в сфере IT. Источник: ZachXBT

Google и ПО для удаленной работы

Утечка документов показывает, что северокорейские IT-специалисты получили должности «блокчейн-разработчиков» и «инженеров смарт-контрактов» на фриланс-платформах, таких как Upwork, а затем использовали ПО для удаленного доступа, например, AnyDesk, для выполнения работы для ничего не подозревающих работодателей. Они также используют VPN, чтобы скрыть свое истинное местоположение.

Экспорт данных с Google Диска и профили Chrome показывают, что они использовали инструменты Google для управления графиками, задачами и бюджетами, общаясь преимущественно на английском языке, используя корейско-английский переводчик от Google.

В одной из таблиц указано, что в мае IT-специалисты потратили в общей сложности $1489,8 на выполнение своих задач.

Заготовленные ответы для использования во время интервью. Источник: ZachXBT

Северокорейские IT-специалисты связаны с недавним взломом криптовалютной платформы на $680 тыс.

Северокорейцы часто используют Payoneer для конвертации фиатных денег в криптовалюту для своей работы, и один из этих адресов кошельков — «0x78e1a» — «тесно связан» с эксплоитом на $680 тыс. на торговой площадке фан-токенов Favrr в июне 2025 года, сообщил ZachXBT.

В то время ZachXBT утверждал, что главный технический директор проекта, известный как «Алекс Хонг», и другие разработчики на самом деле были замаскированными сотрудниками КНДР.

Источник: ZachXBT.

Доказательства также проливают свет на интересующие их вопросы. В одном из поисковых запросов спрашивалось, можно ли развернуть токены ERC-20 на Solana, а в другом — о ведущих европейских компаниях, занимающихся разработкой искусственного интеллекта.

Криптокомпаниям необходимо проводить более тщательную проверку

ZachXBT призвал крипто- и технологические компании более тщательно подбирать потенциальных кандидатов, отметив, что многие из этих операций не отличаются высокой сложностью, но объем заявок часто приводит к халатности отделов найма.

Он добавил, что отсутствие взаимодействия между технологическими компаниями и фриланс-платформами еще больше усугубляет проблему.

В прошлом месяце Министерство финансов США взяло ситуацию в свои руки, введя санкции в отношении двух лиц и четырех организаций, причастных к северокорейской сети IT-специалистов, внедрявшихся в криптовалютные компании.

Источник