Północnokoreańscy pracownicy IT używali ponad 30 fałszywych dokumentów tożsamości do atakowania firm kryptowalutowych: raport

Przejęte urządzenie północnokoreańskiego pracownika IT ujawniło wewnętrzne działania zespołu stojącego za włamaniem do Favrr o wartości 680 000 dolarów oraz ich wykorzystanie narzędzi Google do atakowania projektów kryptowalutowych.

Według śledczego blockchain ZachXBT, trop zaczął się od nienazwanego źródła, które uzyskało dostęp do komputera jednego z pracowników, odkrywając zrzuty ekranu, eksporty z Google Drive i profile Chrome, które odsłoniły sposób planowania i przeprowadzania operacji przez sprawców.

Opierając się na aktywności portfela i dopasowując cyfrowe odciski palców, ZachXBT zweryfikował materiały źródłowe i powiązał transakcje kryptowalutowe grupy z czerwcowym atakiem 2025 roku na rynek tokenów fanowskich Favrr. Jeden adres portfela, "0x78e1a", wykazał bezpośrednie powiązania ze skradzionymi środkami z tego incydentu.

Wewnątrz operacji

Przejęte urządzenie pokazało, że mały zespół — łącznie sześciu członków — dzielił co najmniej 31 fałszywych tożsamości. Aby zdobyć prace przy rozwoju blockchain, zgromadzili wydane przez rząd dokumenty tożsamości i numery telefonów, a nawet kupowali konta LinkedIn i Upwork, aby dopełnić swojego kamuflażu.

Scenariusz rozmowy kwalifikacyjnej znaleziony na urządzeniu pokazał, że chwalili się doświadczeniem w znanych firmach blockchain, w tym Polygon Labs, OpenSea i Chainlink.

Narzędzia Google były kluczowe dla ich zorganizowanego przepływu pracy. Odkryto, że podmioty zagrażające używały arkuszy kalkulacyjnych do śledzenia budżetów i harmonogramów, podczas gdy Google Translate pomagał pokonać barierę językową między koreańskim a angielskim. 

Wśród informacji pobranych z urządzenia był arkusz kalkulacyjny pokazujący, że pracownicy IT wynajmowali komputery i płacili za dostęp do VPN, aby kupować nowe konta do swoich operacji.

Zespół polegał również na narzędziach zdalnego dostępu, takich jak AnyDesk, umożliwiających kontrolowanie systemów klientów bez ujawniania ich prawdziwej lokalizacji. Logi VPN wiązały ich działalność z wieloma regionami, maskując północnokoreańskie adresy IP.

Dodatkowe ustalenia ujawniły, że grupa szukała sposobów na wdrażanie tokenów na różnych blockchainach, badała firmy AI w Europie i planowała nowe cele w przestrzeni kryptowalutowej.

Północnokoreańscy sprawcy zagrożeń wykorzystują pracę zdalną

ZachXBT odkrył ten sam wzorzec, który został oznaczony w wielu raportach dotyczących cyberbezpieczeństwa — północnokoreańscy pracownicy IT zdobywają legalne prace zdalne, aby przeniknąć do sektora kryptowalut. Podając się za niezależnych programistów, uzyskują dostęp do repozytoriów kodu, systemów backendowych i infrastruktury portfeli.

Jednym z dokumentów odkrytych na urządzeniu były notatki z rozmów kwalifikacyjnych i materiały przygotowawcze, prawdopodobnie przeznaczone do trzymania na ekranie lub w pobliżu podczas rozmów z potencjalnymi pracodawcami.