Фрилансеры-призраки: как хакеры из КНДР крадут криптовалюту прямо из облака

Киберпреступники из КНДР нашли новый способ атаковать криптовалютные компании — они маскируются под фрилансеров и соискателей вакансий. По данным отчетов Google Cloud и Wiz, группа TraderTraitor (также известная как UNC4899) с июля 2024 по январь 2025 года взломала две IT-компании, получив доступ к их облачным системам и похитив криптовалюту на миллионы долларов.

Метод атаки: фальшивые вакансии и соцсети

Злоумышленники действовали по отработанной схеме:

Под видом рекрутеров или экспертов они связывались с сотрудниками целевых компаний через LinkedIn и другие соцсети.

Предлагали "выгодные проекты" или вакансии, убеждая жертв скачать вредоносное ПО.

После заражения рабочих компьютеров получали доступ к облачным сервисам (Google Cloud, AWS) и находили серверы, обрабатывающие криптовалютные транзакции.

"Они часто выдают себя за рекрутеров, журналистов, экспертов или преподавателей, чтобы выглядеть убедительно", — отмечают аналитики Google.

Для большей достоверности хакеры используют искусственный интеллект — он помогает им писать убедительные письма и создавать сложные вредоносные скрипты.

Кто стоит за атаками

TraderTraitor — лишь одна из многих группировок, связанных с северокорейскими хакерами. По данным Wiz, за ними стоят такие известные группы, как:

• Lazarus Group
• APT38
• BlueNoroff
• Stardust Chollima

Их деятельность началась еще в 2020 году, а первой крупной кражей стал взлом Ronin Network (игра Axie Infinity) на $620 млн. В 2024 году атаки участились:

• Японская DMM Bitcoin потеряла $305 млн.
• Bybit пострадал на $1,5 млрд.

Почему облачные сервисы — главная цель

Атаки на облачные платформы позволяют злоумышленникам:

Масштабировать атаки — одна уязвимость дает доступ к множеству сервисов.

Оставаться незамеченными — облачные среды сложнее мониторить.

Красть больше — криптовалютные транзакции часто проходят через облачные серверы.

TRM Labs подсчитала, что только за первую половину 2025 года северокорейские хакеры похитили $1,6 млрд, что составляет 70% всех криптокраж за этот период.

Как защититься

Тщательно проверять незнакомых "рекрутеров" и не скачивать файлы из подозрительных писем.

Ограничивать доступ к облачным сервисам по принципу минимальных привилегий.

Использовать двухфакторную аутентификацию для критически важных систем.