Согласно расследованию экспертов по кибербезопасности, хакеры из КНДР зарегистрировали в США две подставные фирмы, чтобы под видом работодателей атаковать разработчиков криптовалют. Используя поддельные вакансии и ИИ-генерируемые профили, злоумышленники заражали жертв вредоносным ПО, похищая доступ к криптокошелькам и корпоративным системам. ФБР уже изъяло связанные с атакой домены, но масштабы операции шокируют даже опытных аналитиков.
Фальшивые компании, реальные угрозы
Северокорейская хакерская группировка Lazarus, связанная с разведкой КНДР, вновь продемонстрировала свою изощренность. На этот раз злоумышленники создали две легально зарегистрированные компании в США — "CryptoLink Solutions" в Делавэре и "Quantum Dev Labs" в Калифорнии.
- CryptoLink Solutions позиционировала себя как стартап, разрабатывающий инструменты для DeFi-проектов. На сайте компании были размещены вакансии для блокчейн-инженеров, а в соцсетях вели активность фейковые сотрудники с фото, сгенерированными нейросетями.
- Quantum Dev Labs имитировала консалтинговую фирму, предлагающую услуги аудита смарт-контрактов. Ее домен, как выяснилось, был зарегистрирован через подставное лицо в Малайзии.
Обе компании рассылали целевые предложения о работе, приглашая разработчиков на собеседования в Zoom. Во время встреч жертвам под видом "тестового задания" предлагали скачать вредоносное ПО, маскирующееся под легальный софт для работы с блокчейном.
Как работала схема?
- Приманка — HR-менеджеры (на самом деле хакеры) связывались с разработчиками через LinkedIn и профессиональные форумы, предлагая высокооплачиваемые позиции.
- Фиктивное собеседование — на встрече жертву просили установить "специальное ПО для оценки навыков", которое на деле было трояном "Contagious Interview" — тем же инструментом, что использовался при взломе моста Ronin в 2022 году ($625 млн убытка).
- Кража данных — вредоносная программа похищала:
Ключи от криптокошельков (MetaMask, Trust Wallet).
Учетные данные для доступа к корпоративным системам.
Данные аутентификации (2FA, биометрия).
ФБР уже закрыло домены подставных компаний, разместив предупреждение: "Эти сайты использовались северокорейскими хакерами для киберпреступлений".
Почему крипторазработчики — главная цель КНДР?
Северная Корея украла более 3млрд в криптовалютах за 5 лет ,и атак и только учащаются. Тольков 2025 году Lazarus Group похитила 1.5 млрд с биржи Bybit, а теперь переключилась на прямую охоту за разработчиками.
Причины:
- Криптостартапы часто недофинансируют безопасность, делая их легкой добычей.
- Доступ к инфраструктуре разработчиков позволяет не только красть средства, но и внедрять бэкдоры в проекты для будущих атак.
- Украденные активы конвертируются в наличные через даркнет-биржи и идут на финансирование ядерной программы КНДР.
Что дальше?
- ByBit объявил "войну" Lazarus, предлагая вознаграждения за помощь в отслеживании stolen funds.
- ФБР и АНБ усиливают мониторинг подозрительных регистраций компаний.
- Криптокомпаниям советуют проверять всех HR-партнеров и обучать сотрудников распознаванию фишинга.
Эксперты предупреждают: пока санкции душат экономику КНДР, хакеры будут придумывать все более изощренные схемы. Следующая цель — возможно, AI-стартапы или банки.