Скомпрометированное устройство от IT-работника из Северной Кореи раскрыла внутренние процессы команды, стоящей за хакерской атакой на Favrr на сумму 680 000 долларов, и их использование инструментов Google для нацеливания на криптопроекты.
Резюме
Скомпрометированное устройство, принадлежащее северокорейскому IT-работнику, раскрыло внутренние механизмы действий злоумышленников.
Доказательства показывают, что операторы использовали инструменты на базе Google, AnyDesk и VPN для проникновения в криптофирмы.
Согласно данным ончейн-расследователя ZachXBT, след начался с неназванного источника, который получил доступ к одному из компьютеров работников, раскрывая скриншоты, экспорты Google Drive и профили Chrome, которые приоткрыли завесу над тем, как операторы планировали и осуществляли свои схемы.
Анализируя активность кошельков и сопоставляя цифровые отпечатки, ZachXBT подтвердил исходный материал и связал криптовалютные операции группы с эксплуатацией рынка фан-токенов Favrr в июне 2025 года. Один адрес кошелька, "0x78e1a", показал прямые связи со stolen funds из этого инцидента.
Внутри операции
Скомпрометированное устройство показало, что маленькая команда — всего шесть участников — использовала по крайней мере 31 поддельную личность. Чтобы получить работу в разработке блокчейна, они собрали выданные правительством удостоверения личности и номера телефонов, даже купив аккаунты на LinkedIn и Upwork, чтобы завершить свою маскировку.
Сценарий интервью, найденный на устройстве, показал, что они хвастались опытом работы в известных блокчейн-компаниях, включая Polygon Labs, OpenSea и Chainlink.
Инструменты Google были центральными в их организованном рабочем процессе. Угрожающие участники использовали таблицы Google Drive для отслеживания бюджета и расписаний, в то время как Google Translate преодолевал языковой барьер между корейским и английским.
Среди информации, извлеченной с устройства, была таблица, показывающая, что ИТ-работники арендовали компьютеры и платили за доступ к VPN для покупки новых аккаунтов для своих операций.
Команда также полагалась на инструменты удаленного доступа, такие как AnyDesk, что позволяло им контролировать системы клиентов, не раскрывая свои истинные местоположения. Логи VPN связывали их деятельность с несколькими регионами, маскируя северокорейские IP-адреса.
Дополнительные выводы показали, что группа ищет способы развертывания токенов на различных блокчейнах, изучает AI-компании в Европе и наметила новые цели в крипто-пространстве.
Северокорейские угрозы используют удаленные рабочие места
ZachXBT обнаружил ту же схему, отмеченную в нескольких отчетах по кибербезопасности — северокорейские IT-работники получают легитимные удаленные работы, чтобы проникнуть в криптосектор. Выдавая себя за фриланс-разработчиков, они получают доступ к репозиториям кода, бэкенд-системам и инфраструктуре кошельков.
Одним из документов, обнаруженных на устройстве, были заметки интервью и подготовительные материалы, вероятно, предназначенные для того, чтобы их держали на экране или поблизости во время звонков с потенциальными работодателями.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Северокорейские IT-работники использовали более 30 поддельных удостоверений личности для целевой атаки на криптовалютные компании: отчет
Скомпрометированное устройство от IT-работника из Северной Кореи раскрыла внутренние процессы команды, стоящей за хакерской атакой на Favrr на сумму 680 000 долларов, и их использование инструментов Google для нацеливания на криптопроекты.
Резюме
Согласно данным ончейн-расследователя ZachXBT, след начался с неназванного источника, который получил доступ к одному из компьютеров работников, раскрывая скриншоты, экспорты Google Drive и профили Chrome, которые приоткрыли завесу над тем, как операторы планировали и осуществляли свои схемы.
Анализируя активность кошельков и сопоставляя цифровые отпечатки, ZachXBT подтвердил исходный материал и связал криптовалютные операции группы с эксплуатацией рынка фан-токенов Favrr в июне 2025 года. Один адрес кошелька, "0x78e1a", показал прямые связи со stolen funds из этого инцидента.
Внутри операции
Скомпрометированное устройство показало, что маленькая команда — всего шесть участников — использовала по крайней мере 31 поддельную личность. Чтобы получить работу в разработке блокчейна, они собрали выданные правительством удостоверения личности и номера телефонов, даже купив аккаунты на LinkedIn и Upwork, чтобы завершить свою маскировку.
Сценарий интервью, найденный на устройстве, показал, что они хвастались опытом работы в известных блокчейн-компаниях, включая Polygon Labs, OpenSea и Chainlink.
Инструменты Google были центральными в их организованном рабочем процессе. Угрожающие участники использовали таблицы Google Drive для отслеживания бюджета и расписаний, в то время как Google Translate преодолевал языковой барьер между корейским и английским.
Среди информации, извлеченной с устройства, была таблица, показывающая, что ИТ-работники арендовали компьютеры и платили за доступ к VPN для покупки новых аккаунтов для своих операций.
Команда также полагалась на инструменты удаленного доступа, такие как AnyDesk, что позволяло им контролировать системы клиентов, не раскрывая свои истинные местоположения. Логи VPN связывали их деятельность с несколькими регионами, маскируя северокорейские IP-адреса.
Дополнительные выводы показали, что группа ищет способы развертывания токенов на различных блокчейнах, изучает AI-компании в Европе и наметила новые цели в крипто-пространстве.
Северокорейские угрозы используют удаленные рабочие места
ZachXBT обнаружил ту же схему, отмеченную в нескольких отчетах по кибербезопасности — северокорейские IT-работники получают легитимные удаленные работы, чтобы проникнуть в криптосектор. Выдавая себя за фриланс-разработчиков, они получают доступ к репозиториям кода, бэкенд-системам и инфраструктуре кошельков.
Одним из документов, обнаруженных на устройстве, были заметки интервью и подготовительные материалы, вероятно, предназначенные для того, чтобы их держали на экране или поблизости во время звонков с потенциальными работодателями.