Злом північнокорейського хакера розкрив схему працевлаштування у криптоіндустрії
Дата: 2025-08-15 Автор: Henry Casey Категорії: БІЗНЕС
За його даними, шість громадян Північної Кореї створили понад 30 підроблених осіб для працевлаштування у криптовалютні компанії. Вони купували фальшиві документи, а також акаунти на LinkedIn та Upwork, видаючи себе за досвідчених блокчейн-розробників. Один із учасників схеми навіть пройшов співбесіду в Polygon Labs на позицію фулл-стек інженера, вказавши фіктивний досвід роботи в OpenSea та Chainlink.
Для виконання завдань зловмисники використовували AnyDesk та VPN, а для планування – сервіси Google. У травні їхні витрати на оренду обладнання та софт становили $1 489. Фінансові операції велися через Payoneer, а один із гаманців виявився пов'язаним з атакою на маркетплейс Favrr, в результаті якої було викрадено $680 000.
Вивчення пошукової історії виявило інтерес до розгортання ERC-20 на Solana та європейських ІІ-компаній, а також регулярне використання Google Translate з корейської на англійську через російський IP. Частий запит — як визначити, що вони з КНДР? ZachXBT зазначив, що основна проблема — слабка перевірка кандидатів через навантаження HR-відділів та нестачу взаємодії між державними структурами та бізнесом.
За словами Джиммі Су, директора безпеки Binance, біржа щодня отримує підроблені резюме від північнокорейських хакерів протягом багатьох років. Раніше вони використовували шаблонні заявки з азіатськими іменами, але тепер застосовують дипфейки та голосові модулятори, видаючи себе за фахівців із Європи чи Близького Сходу. Характерною ознакою є затримка у відповідях через роботу перекладачів та симуляторів.
Су розповів, що надійний метод перевірки — попросити кандидата прикрити обличчя рукою, що часто ламає дипфейк. Binance, за його словами, ніколи не наймала агентів КНДР, але відслідковує співробітників щодо підозрілої поведінки. Неприродна продуктивність, відсутність перерв та роботи у кілька змін можуть вказувати на зв'язок із Lazarus. У деяких компаніях кандидатів просять критично висловитись про Кім Чен Ына, що в КНДР заборонено.
Lazarus відома й іншими методами атак: додаванням шкідливого коду до NPM-бібліотеки, проведенням фішингових «співбесід» із встановленням заражених версій Zoom. Угруповання пов'язують із лютневим зломом Bybit, коли було викрадено $1,46 млрд, і липневою атакою на індійську платформу CoinDCX, що втратила $44,2 млн.
Ця історія ще раз продемонструвала, наскільки цілеспрямовано північнокорейські кіберзлочинці використовують працевлаштування як канал для атак, і як важливо компаніям посилювати перевірку претендентів, особливо у сфері криптоіндустрії.
