Сооснователь Binance Чанпэн Чжао (CZ) опубликовал предупреждение о растущей угрозе. По его словам, злоумышленники стремятся получить работу в криптокомпаниях или подкупить сотрудников бирж ради доступа к данным.

«Они притворяются кандидатами, чтобы попасть в вашу компанию. Особенно это касается вакансий, связанных с разработкой, безопасностью и финансами», — написал он.

По его словам, агенты КНДР также маскируются под работодателей и пытаются «собеседовать» соискателей. В ходе онлайн-интервью они подсовывают вредоносные ссылки якобы для обновления Zoom, что позволяет захватить устройство работника.

Другие методы включают отправку сотрудникам «тестовых заданий» с вредоносным кодом, использование фишинговых ссылок при обращении в службу поддержки или прямой подкуп работников и подрядчиков ради доступа к данным.

«Все криптоплатформы должны обучать сотрудников не скачивать файлы и тщательно проверять кандидатов», — подчеркнул CZ.

По теме: смарт-контракты Ethereum стали хранилищем вредоносных ссылок

Coinbase усилила внутреннюю защиту

Предупреждение последовало за аналогичными сообщениями от Coinbase, которая в прошлом месяце зафиксировала новую волну атак.

На фоне этого генеральный директор Coinbase Брайан Армстронг сообщил о введении дополнительных мер безопасности. Теперь сотрудники компании обязаны проходить очное обучение в США, а доступ к критически важным системам будет разрешен только гражданам страны после сдачи отпечатков пальцев.

«Мы можем сотрудничать с правоохранительными органами, но создается ощущение, что они штампуют по 500 новых кадров каждый квартал, и это их основная работа», — сказал Армстронг в подкасте Cheeky Pint.

По теме: взломавший Coinbase хакер купил 3976 ETH на фоне роста Ethereum выше $4700

Масштаб угрозы

Параллельно с этим команда белых хакеров Security Alliance (SEAL) нашла профили как минимум 60 северокорейских агентов, выдающих себя за разработчиков с поддельными именами.

Профиль с северокорейскими хакерами. Источник: группа Лазарь.

В опубликованном репозитории содержатся их псевдонимы, поддельные имена и электронные адреса, а также сайты, фиктивные данные о гражданстве, геолокации и сведения о компаниях, в которых они работали ранее.

Профиль подставного разработчика. Источник: группа Лазарь.

В профили также включены зарплатные данные, GitHub-аккаунты и прочие публичные связи каждого выдавшего себя за соискателя.

В июне четверо северокорейских агентов сумели внедриться в несколько криптокомпаний как фрилансеры-разработчики, похитив в совокупности $900 000.

Команда SEAL, созданная под руководством «белого» хакера и исследователя Paradigm Samczsun, за первый год работы провела более 900 расследований атак, что может подчеркивать растущую потребность в этичных хакерах.

Лазарь и рекордные кражи

Северокорейские группировки, включая печально известную группу Лазарь, остаются главными подозреваемыми в крупнейших криптовалютных кражах, включая взлом Bybit на $1,4 млрд — самый масштабный в истории индустрии.

По данным Chainalysis, за 2024 год северокорейские хакеры похитили цифровые активы на сумму более $1,34 млрд в 47 инцидентах. Это на 102% больше, чем в 2023 году, когда сумма украденного составила $660 млн.

По теме: SEAL — крупнейшая атака на NPM в истории криптовалют принесла ~$20