Расследования популярного блокчейн-детектива ZachXBT выявили широкое проникновение Северной Кореи на рынок вакансий по разработке криптовалют по всему миру.
Анонимный источник недавно скомпрометировал устройство, принадлежащее работнику ИТ из КНДР, и предоставил беспрецедентный взгляд на то, как маленькая команда из пяти ИТ-работников управляла более чем 30 поддельными личностями.
Оперативники КНДР заполняют рынок криптоработы
Согласно твитам ZachXBT, команда КНДР, как сообщается, использовала выданные правительством удостоверения личности для регистрации аккаунтов на Upwork и LinkedIn, чтобы получить роли разработчиков на нескольких проектах. Следователи нашли экспорт Google Drive работников, профили Chrome и скриншоты, которые показали, что продукты Google были центральными в организации расписаний, задач и бюджета, а коммуникация в основном велась на английском.
Среди документов находится электронная таблица 2025 года, содержащая еженедельные отчеты от членов команды, которые проливают свет на их внутренние операции и мышление. Типичные записи включали такие утверждения, как «Я не могу понять требования к работе и не знаю, что мне нужно делать», с самонаправленными заметками вроде «Решение / исправление: приложить достаточно усилий с душой.»
Другой документ отслеживает расходы, показывая покупки номеров социального обеспечения, аккаунтов Upwork и LinkedIn, номеров телефонов, подписок на ИИ, аренды компьютеров и услуг VPN или прокси. Также были обнаружены графики встреч и сценарии для фальшивых личностей, включая одну под именем "Генри Чжан."
Методы работы команды, по сообщениям, включали покупку или аренду компьютеров, использование AnyDesk для удаленной работы и конвертацию заработанной фиатной валюты в криптовалюту через Payoneer. Один адрес кошелька, 0x78e1, связанный с группой, на цепочке связан с хищением в $680,000 на Favrr в июне 2025 года, где технический директор проекта и другие разработчики впоследствии были идентифицированы как IT-работники КНДР, использующие поддельные документы. Дополнительные работники, связанные с КНДР, были подключены к проектам через адрес 0x78e1.
Признаки их северокорейского происхождения включают частое использование Google Translate для поисков на корейском языке, проведенных с российских IP-адресов. ZachXBT заявил, что эти IT-работники не особенно софистицированы, но их настойчивость подкрепляется огромным количеством ролей, на которые они нацеливаются по всему миру.
Проблемы в противодействии этим операциям включают слабое сотрудничество между частными компаниями и службами, а также сопротивление команд, когда сообщается о мошеннической деятельности.
Постоянная угроза Северной Кореи
Северокорейские хакеры, в частности группа Лазарь, продолжают представлять собой значительную угрозу для индустрии. В феврале 2025 года группа осуществила крупнейшую в истории хакерскую атаку на криптобиржу, похитив около 1,5 миллиарда долларов в Ethereum у базирующейся в Дубае Bybit.
Атака использовала уязвимости в стороннем поставщике кошельков, Safe{Wallet}, что позволило хакерам обойти меры безопасности с многофакторной подписью и вывести средства на несколько кошельков. ФБР приписало взлом северокорейским операторам, назвав его "TraderTraitor".
В июле 2025 года индийская криптовалютная биржа CoinDCX стала жертвой кражи на сумму 44 миллиона долларов, которая также была связана с группой Lazarus. Злоумышленники проникли в ликвидностную инфраструктуру CoinDCX, используя открытые внутренние учетные данные для совершения кражи.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Google Docs, Upwork и LinkedIn: Внутри секретных Крипто-операций северокорейских IT-работников
Расследования популярного блокчейн-детектива ZachXBT выявили широкое проникновение Северной Кореи на рынок вакансий по разработке криптовалют по всему миру.
Анонимный источник недавно скомпрометировал устройство, принадлежащее работнику ИТ из КНДР, и предоставил беспрецедентный взгляд на то, как маленькая команда из пяти ИТ-работников управляла более чем 30 поддельными личностями.
Оперативники КНДР заполняют рынок криптоработы
Согласно твитам ZachXBT, команда КНДР, как сообщается, использовала выданные правительством удостоверения личности для регистрации аккаунтов на Upwork и LinkedIn, чтобы получить роли разработчиков на нескольких проектах. Следователи нашли экспорт Google Drive работников, профили Chrome и скриншоты, которые показали, что продукты Google были центральными в организации расписаний, задач и бюджета, а коммуникация в основном велась на английском.
Среди документов находится электронная таблица 2025 года, содержащая еженедельные отчеты от членов команды, которые проливают свет на их внутренние операции и мышление. Типичные записи включали такие утверждения, как «Я не могу понять требования к работе и не знаю, что мне нужно делать», с самонаправленными заметками вроде «Решение / исправление: приложить достаточно усилий с душой.»
Другой документ отслеживает расходы, показывая покупки номеров социального обеспечения, аккаунтов Upwork и LinkedIn, номеров телефонов, подписок на ИИ, аренды компьютеров и услуг VPN или прокси. Также были обнаружены графики встреч и сценарии для фальшивых личностей, включая одну под именем "Генри Чжан."
Методы работы команды, по сообщениям, включали покупку или аренду компьютеров, использование AnyDesk для удаленной работы и конвертацию заработанной фиатной валюты в криптовалюту через Payoneer. Один адрес кошелька, 0x78e1, связанный с группой, на цепочке связан с хищением в $680,000 на Favrr в июне 2025 года, где технический директор проекта и другие разработчики впоследствии были идентифицированы как IT-работники КНДР, использующие поддельные документы. Дополнительные работники, связанные с КНДР, были подключены к проектам через адрес 0x78e1.
Признаки их северокорейского происхождения включают частое использование Google Translate для поисков на корейском языке, проведенных с российских IP-адресов. ZachXBT заявил, что эти IT-работники не особенно софистицированы, но их настойчивость подкрепляется огромным количеством ролей, на которые они нацеливаются по всему миру.
Проблемы в противодействии этим операциям включают слабое сотрудничество между частными компаниями и службами, а также сопротивление команд, когда сообщается о мошеннической деятельности.
Постоянная угроза Северной Кореи
Северокорейские хакеры, в частности группа Лазарь, продолжают представлять собой значительную угрозу для индустрии. В феврале 2025 года группа осуществила крупнейшую в истории хакерскую атаку на криптобиржу, похитив около 1,5 миллиарда долларов в Ethereum у базирующейся в Дубае Bybit.
Атака использовала уязвимости в стороннем поставщике кошельков, Safe{Wallet}, что позволило хакерам обойти меры безопасности с многофакторной подписью и вывести средства на несколько кошельков. ФБР приписало взлом северокорейским операторам, назвав его "TraderTraitor".
В июле 2025 года индийская криптовалютная биржа CoinDCX стала жертвой кражи на сумму 44 миллиона долларов, которая также была связана с группой Lazarus. Злоумышленники проникли в ликвидностную инфраструктуру CoinDCX, используя открытые внутренние учетные данные для совершения кражи.