Северокорейские IT-работники использовали более 30 поддельных удостоверений для атаки на криптокомпании: отчет

Скомпрометированное устройство северокорейского ИТ-работника раскрыло внутренние механизмы работы команды, стоящей за взломом Favrr на сумму 680 000 $, и их использование инструментов Google для атаки на криптопроекты.

По словам он-чейн детектива ZachXBT, след начался с неназванного источника, который получил доступ к компьютеру одного из работников, обнаружив скриншоты, экспорты Google Drive и профили Chrome, которые приоткрыли завесу над тем, как оперативники планировали и осуществляли свои схемы.

Опираясь на активность кошелька и сопоставляя цифровые отпечатки, ZachXBT проверил исходный материал и связал криптовалютные операции группы с эксплойтом маркетплейса фан токенов Favrr в июне 2025 года. Один адрес кошелька, "0x78e1a", показал прямые связи с украденными средствами из этого инцидента.

Внутри операции

Скомпрометированное устройство показало, что небольшая команда — всего шесть членов — использовала не менее 31 поддельной личности. Чтобы получить работу по разработке блокчейна, они собрали государственные удостоверения личности и номера телефонов, даже покупали аккаунты LinkedIn и Upwork для завершения своего прикрытия.

Сценарий собеседования, найденный на устройстве, показал, что они хвастались опытом работы в известных блокчейн-компаниях, включая Polygon Labs, OpenSea и Chainlink.

Инструменты Google были центральными в их организованном рабочем процессе. Было обнаружено, что злоумышленники использовали таблицы для отслеживания бюджетов и расписаний, в то время как Google Translate преодолевал языковой барьер между корейским и английским языками. 

Среди информации, извлеченной с устройства, была таблица, показывающая, что ИТ-работники арендовали компьютеры и платили за доступ к VPN для покупки новых аккаунтов для своих операций.

Команда также полагалась на инструменты удаленного доступа, такие как AnyDesk, позволяющие им контролировать системы клиентов, не раскрывая своего истинного местоположения. Логи VPN связывали их активность с несколькими регионами, маскируя северокорейские IP-адреса.

Дополнительные находки показали, что группа искала способы развертывания токенов в различных блокчейнах, исследовала ИИ-фирмы в Европе и намечала новые цели в криптопространстве.

Северокорейские злоумышленники используют удаленные работы

ZachXBT обнаружил тот же шаблон, отмеченный в нескольких отчетах по кибербезопасности — северокорейские ИТ-работники получают законные удаленные работы, чтобы проникнуть в криптосектор. Выдавая себя за внештатных разработчиков, они получают доступ к репозиториям кода, бэкенд-системам и инфраструктуре кошельков.

Одним из документов, обнаруженных на устройстве, были заметки для собеседования и подготовительные материалы, которые, вероятно, предназначались для того, чтобы держать их на экране или поблизости во время звонков с потенциальными работодателями.