Розслідування популярного блокчейн-дослідника ZachXBT виявили значну інфільтрацію Північної Кореї на глобальний ринок вакансій у сфері розробки криптовалют.
Не названий джерело нещодавно скомпрометувало пристрій, що належить IT-робітнику КНДР, і надало безпрецедентне уявлення про те, як маленька команда з п'яти IT-робітників працювала під 30 підробленими особистостями.
Оперативники КНДР заполоняють ринок крипто-роботи
Згідно з твітами ZachXBT, команда КНДР, як повідомляється, використовувала видані урядом посвідчення особи для реєстрації акаунтів на Upwork та LinkedIn, щоб отримати ролі розробників у кількох проектах. Слідчі виявили експорт Google Drive працівників, профілі Chrome та скріншоти, які показали, що продукти Google були центральними для організації графіків, завдань та бюджетів, при цьому комунікація в основному проводилася англійською.
Серед документів є таблиця 2025 року, яка містить щотижневі звіти від членів команди, що проливають світло на їхні внутрішні операції та ставлення. Типові записи містили такі висловлювання, як «Я не можу зрозуміти вимоги до роботи і не знаю, що мені потрібно робити», з самостійними нотатками на кшталт «Рішення / виправлення: докласти достатньо зусиль з душею.»
Інша таблиця обліковує витрати, показуючи покупки номерів соціального страхування, облікових записів Upwork і LinkedIn, номерів телефонів, підписок на ШІ, оренди комп'ютерів та послуг VPN або проксі. Також були відновлені графіки зустрічей і сценарії для фіктивних особистостей, включаючи одну під іменем "Генрі Чжан".
Звітно, методи роботи команди включали покупку або оренду комп'ютерів, використання AnyDesk для виконання роботи віддалено та конвертацію зароблених фіатних грошей у криптовалюту через Payoneer. Одна адреса гаманця, 0x78e1, пов'язана з групою, на ланцюзі пов'язана з експлуатацією на $680,000 на Favrr у червні 2025 року, де пізніше були ідентифіковані CTO проєкту та інші розробники як IT-робітники КНДР, які використовували підроблені документи. Додаткові працівники, пов'язані з КНДР, були пов'язані з проєктами через адресу 0x78e1.
Індикаторами їх північнокорейського походження є часте використання Google Translate для пошуків корейською мовою, здійснюваних з російських IP-адрес. ZachXBT заявив, що ці IT-робітники не є особливо складними, але їхня наполегливість підкріплюється величезною кількістю ролей, на які вони намагаються вплинути по всьому світу.
Виклики у протидії цим операціям включають погану співпрацю між приватними компаніями та службами, а також опір з боку команд, коли повідомляється про шахрайську діяльність.
Постійна загроза Північної Кореї
Північнокорейські хакери, зокрема група Лазаря, продовжують становити значну загрозу для індустрії. У лютому 2025 року група організувала найбільший злочин у криптообміні в історії, викравши приблизно 1,5 мільярда доларів США в Ethereum з біржі Bybit, що базується в Дубаї.
Атака використовувала вразливості у сторонньому постачальнику гаманців, Safe{Wallet}, що дозволило хакерам обійти багаторазові заходи безпеки та вивести кошти в кілька гаманців. ФБР звинуватило у витоку північнокорейських оперативників, охарактеризувавши це як "TraderTraitor".
В липні 2025 року CoinDCX, індійська криптовалютна біржа, стала жертвою крадіжки на суму 44 мільйони доларів, яка також була пов'язана з групою Lazarus. Атакуючі проникли в ліквідність CoinDCX, використовуючи відкриті внутрішні облікові дані для виконання крадіжки.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Google Docs, Upwork та LinkedIn: Всередині секретних Крипто-операцій північнокорейських ІТ-робітників
Розслідування популярного блокчейн-дослідника ZachXBT виявили значну інфільтрацію Північної Кореї на глобальний ринок вакансій у сфері розробки криптовалют.
Не названий джерело нещодавно скомпрометувало пристрій, що належить IT-робітнику КНДР, і надало безпрецедентне уявлення про те, як маленька команда з п'яти IT-робітників працювала під 30 підробленими особистостями.
Оперативники КНДР заполоняють ринок крипто-роботи
Згідно з твітами ZachXBT, команда КНДР, як повідомляється, використовувала видані урядом посвідчення особи для реєстрації акаунтів на Upwork та LinkedIn, щоб отримати ролі розробників у кількох проектах. Слідчі виявили експорт Google Drive працівників, профілі Chrome та скріншоти, які показали, що продукти Google були центральними для організації графіків, завдань та бюджетів, при цьому комунікація в основному проводилася англійською.
Серед документів є таблиця 2025 року, яка містить щотижневі звіти від членів команди, що проливають світло на їхні внутрішні операції та ставлення. Типові записи містили такі висловлювання, як «Я не можу зрозуміти вимоги до роботи і не знаю, що мені потрібно робити», з самостійними нотатками на кшталт «Рішення / виправлення: докласти достатньо зусиль з душею.»
Інша таблиця обліковує витрати, показуючи покупки номерів соціального страхування, облікових записів Upwork і LinkedIn, номерів телефонів, підписок на ШІ, оренди комп'ютерів та послуг VPN або проксі. Також були відновлені графіки зустрічей і сценарії для фіктивних особистостей, включаючи одну під іменем "Генрі Чжан".
Звітно, методи роботи команди включали покупку або оренду комп'ютерів, використання AnyDesk для виконання роботи віддалено та конвертацію зароблених фіатних грошей у криптовалюту через Payoneer. Одна адреса гаманця, 0x78e1, пов'язана з групою, на ланцюзі пов'язана з експлуатацією на $680,000 на Favrr у червні 2025 року, де пізніше були ідентифіковані CTO проєкту та інші розробники як IT-робітники КНДР, які використовували підроблені документи. Додаткові працівники, пов'язані з КНДР, були пов'язані з проєктами через адресу 0x78e1.
Індикаторами їх північнокорейського походження є часте використання Google Translate для пошуків корейською мовою, здійснюваних з російських IP-адрес. ZachXBT заявив, що ці IT-робітники не є особливо складними, але їхня наполегливість підкріплюється величезною кількістю ролей, на які вони намагаються вплинути по всьому світу.
Виклики у протидії цим операціям включають погану співпрацю між приватними компаніями та службами, а також опір з боку команд, коли повідомляється про шахрайську діяльність.
Постійна загроза Північної Кореї
Північнокорейські хакери, зокрема група Лазаря, продовжують становити значну загрозу для індустрії. У лютому 2025 року група організувала найбільший злочин у криптообміні в історії, викравши приблизно 1,5 мільярда доларів США в Ethereum з біржі Bybit, що базується в Дубаї.
Атака використовувала вразливості у сторонньому постачальнику гаманців, Safe{Wallet}, що дозволило хакерам обійти багаторазові заходи безпеки та вивести кошти в кілька гаманців. ФБР звинуватило у витоку північнокорейських оперативників, охарактеризувавши це як "TraderTraitor".
В липні 2025 року CoinDCX, індійська криптовалютна біржа, стала жертвою крадіжки на суму 44 мільйони доларів, яка також була пов'язана з групою Lazarus. Атакуючі проникли в ліквідність CoinDCX, використовуючи відкриті внутрішні облікові дані для виконання крадіжки.