Северокорейские разработчики использовали поддельные личности для кражи криптопроекта: ZachXBT

Следователь ZachXBT обнародовал информацию о северокорейских разработчиках, которые предположительно украли 1,3 миллиона долларов из казны проекта.

Кража произошла, когда разработчики, нанятые под фейковыми именами, внедрили в систему вредоносный код, который позволил осуществить несанкционированный перевод средств.

ZachXBT раскрывает схему криптоработников

ZachXBT объяснил на X, что украденные средства были первоначально отправлены на адрес кражи и переброшены из Соланы в Эфириум через платформу deBridge. Средства в размере 50,2 ETH были депонированы в Tornado Cash, крипто-миксер, который скрывает следы транзакций. После этого 16,5 ETH было переведено на две биржи.

1/ Недавно команда обратилась ко мне за помощью после того, как из казны было украдено 1,3 миллиона долларов после распространения вредоносного кода.

Без ведома команды они наняли нескольких ИТ-специалистов КНДР в качестве разработчиков, которые использовали поддельные личности.

Затем я обнаружил более 25 криптопроектов с помощью… pic.Twitter.com/W7SgY97Rd8

– ZachXBT (@zachxbt) 15 августа 2024 г.

По данным ZachXBT, с июня 2024 года северокорейские ИТ-специалисты проникли в более чем 25 криптопроектов, используя несколько платежных адресов. Он отметил, что в Азии может быть одна организация, вероятно, базирующаяся в Северной Корее, получающая от 300 000 до 500 000 долларов в месяц и нанимающая как минимум 21 работника в различных криптопроектах.

Дальнейший анализ показал, что до этого дела 5,5 миллиона долларов были переведены на обменный депозитный адрес, связанный с платежами, произведенными северокорейскими ИТ-специалистами с июля 2023 года по июль 2024 года. Эти платежи были связаны с Симом Хён Сопом, лицом, находящимся под санкциями Офиса США. Управления по контролю за иностранными активами (OFAC).

В ходе расследования ZachXBT были более глубоко изучены несколько ошибок и необычных закономерностей, допущенных злоумышленниками. Имели место совпадения IP-адресов между разработчиками, предположительно базирующимися в США и Малайзии, а также случайные утечки альтернативных имен во время записанных сеансов.

После инцидента ZackXBT связался с пострадавшими проектами и посоветовал им просмотреть свои журналы и провести более тщательную проверку анкетных данных. Он также отметил несколько тревожных сигналов, которые команды могут отслеживать, например, рекомендации на должности от других разработчиков, несогласованность истории работы и тщательно отточенные резюме или профили на GitHub.

Всплеск киберпреступности в Северной Корее

Между тем, группы, связанные с Северной Кореей, уже давно связаны с киберпреступностью. Их тактика часто включает в себя фишинговые схемы, использование уязвимостей программного обеспечения, несанкционированный доступ к системе, кражу секретных ключей и даже личное проникновение в организации.

Одна из самых печально известных организаций, Lazarus Group, предположительно украла криптовалютные активы на сумму более 3 миллиардов долларов в период с 2017 по 2023 год.

В 2022 году правительство США предупредило о растущем числе северокорейских рабочих, занимающихся внештатными техническими должностями, особенно в криптосекторе.