Инцидент с децентрализованной биржей Drift выявил новые методы работы киберпреступников. Отраслевые исследователи изучили механику атаки и пришли к выводу, что группировки из КНДР системно участвуют в создании продуктов крипторынка под видом легитимных сотрудников.
Кто и как устроил атаку
Атаку с высокой вероятностью приписывают группировке AppleJeus, аффилированной с КНДР, — той же, что взломала Radiant Capital в 2024 году.
В Drift злоумышленники полгода выстраивали отношения с командой под видом трейдингового фонда, лично встречались на конференциях, внесли депозит $1 млн и в итоге скомпрометировали устройства контрибьюторов через вредоносный репозиторий и поддельное iOS-приложение.
«Они уже сидят в других командах»
Исследовательница Тей, лично участвовавшая в расследовании, написала, что шла в этот кейс с ожиданием обычного социального инжиниринга. Глубина проработки операции и количество персонажей изменили ее оценку.
«Все это заставляет думать, что аналогичным образом группировка уже держит “на крючке” несколько других команд», — написала она.
Также Тей отметила, что IT-работники из КНДР строили протоколы, которые криптосообщество знает и использует еще с эпохи «DeFi-лета».
«Семь лет опыта в блокчейне в резюме — это не ложь», — уверена она.
Один из пользователей поделился собственным опытом: его прошлый работодатель едва не нанял агента Lazarus. Кандидат успешно прошел все онлайн-собеседования, но слился при приглашении на офлайн-встречу, отказавшись лететь. Позже его имя всплыло в утечке данных о структурах Lazarus.
«Теперь Lazarus использует людей и не из КНДР, чтобы работать вживую», — резюмировал он.
Известный ончейн-исследователь ZachXBT подчеркнул, что «Lazarus» — это не что-то единое, а собирательное название для всех кибергрупп, спонсируемых КНДР.
«Угрозы разного уровня сложности исходят от принципиально разных структур», — отметил он.
Схемы через фейковые вакансии, LinkedIn, Zoom или e-mail он относит к базовому уровню, где главное оружие — количество попыток.
По-настоящему сложные атаки, по его словам, стабильно проводят только два актора: TraderTraitor (Bybit, DMM, Ronin, Harmony) и AppleJeus (Radiant, Drift). Именно они работают с supply chain, кошельками и эксплойтами на уровне протокола.
Как вербуют посредников
Еще один участник обсуждения описал механику найма живых агентов — людей не из КНДР, которых используют для очного контакта. По его словам, у структур есть внутренняя метрика оценки потенциальных посредников и разнообразные пайплайны вербовки — от объявлений на фриланс-платформах до многомесячного выстраивания доверия с последующим предложением «совместного бизнеса».
«Наиболее ценные профили — молодые IT-специалисты с американским гражданством», — подчеркнул он.
Читайте также:
- Хакеры из КНДР похитили $300 млн через фейковые звонки в Zoom
- ZachXBT выявил 25+ атак с участием хакеров из КНДР под видом сотрудников криптокомпаний
- Северокорейские хакеры украли свыше $2 млрд в криптовалюте в 2025 году – Elliptic
- Власти Кореи назвали группировку Lazarus вероятным виновником взлома Upbit