Взлом северокорейского хакера раскрыл схему трудоустройства в криптоиндустрии

Дата: 2025-08-15 Автор: Henry Casey Категории: БИЗНЕС

По его данным, шесть граждан Северной Кореи создали свыше 30 поддельных личностей для трудоустройства в криптовалютные компании. Они покупали фальшивые документы, а также аккаунты на LinkedIn и Upwork, выдавая себя за опытных блокчейн-разработчиков. Один из участников схемы даже прошёл собеседование в Polygon Labs на позицию фулл-стек инженера, указав фиктивный опыт работы в OpenSea и Chainlink.

Для выполнения задач злоумышленники использовали AnyDesk и VPN, а для планирования — Google-сервисы. В мае их расходы на аренду оборудования и софт составили $1 489. Финансовые операции велись через Payoneer, а один из кошельков оказался связан с атакой на маркетплейс Favrr, в результате которой было похищено $680 000.

Изучение поисковой истории выявило интерес к развёртыванию ERC-20 на Solana и европейским ИИ-компаниям, а также регулярное использование Google Translate с корейского на английский через российский IP. Частый запрос — «как определить, что они из КНДР?». ZachXBT отметил, что основная проблема — слабая проверка кандидатов из-за перегрузки HR-отделов и недостатка взаимодействия между государственными структурами и бизнесом.

По словам Джимми Су, директора по безопасности Binance, биржа ежедневно получает поддельные резюме от северокорейских хакеров на протяжении многих лет. Ранее они использовали шаблонные заявки с азиатскими именами, но теперь применяют дипфейки и голосовые модуляторы, выдавая себя за специалистов из Европы или Ближнего Востока. Характерный признак — задержка в ответах из-за работы переводчиков и симуляторов.

Су рассказал, что надёжный метод проверки — попросить кандидата прикрыть лицо рукой, что часто «ломает» дипфейк. Binance, по его словам, никогда не нанимала агентов КНДР, но отслеживает сотрудников на предмет подозрительного поведения. Неестественная производительность, отсутствие перерывов и работы в несколько смен могут указывать на связь с Lazarus. В некоторых компаниях кандидатов просят критически высказаться о Ким Чен Ыне, что в КНДР запрещено.

Lazarus известна и другими методами атак: добавлением вредоносного кода в NPM-библиотеки, проведением фишинговых «собеседований» с установкой заражённых версий Zoom. Группировку связывают с февральским взломом Bybit, когда было похищено $1,46 млрд, и июльской атакой на индийскую платформу CoinDCX, лишившуюся $44,2 млн.

Эта история ещё раз продемонстрировала, насколько целенаправленно северокорейские киберпреступники используют трудоустройство как канал для атак, и как важно компаниям усиливать проверку соискателей, особенно в сфере криптоиндустрии.