Лучший сотрудник месяца оказался хакером: как криптокомпании сами пускают вора в дверь

Они создают фальшивые резюме, проходят собеседования и даже работают в командах — пока их не разоблачат. Недавно неизвестный хакер взломал аккаунт одного из таких злоумышленников, раскрыв детали их схем.

Фальшивые личности и поддельные документы

Шесть граждан КНДР создали более 30 вымышленных профилей, чтобы устроиться в криптопроекты. Они покупали поддельные документы и аккаунты на LinkedIn и Upwork, выдавая себя за опытных блокчейн-разработчиков. Один из них даже успешно прошел собеседование в Polygon Labs на позицию фулл-стек инженера, указав в резюме опыт работы в OpenSea и Chainlink.

"Мой профессиональный стаж в блокчейн-разработке составляет более семи лет (включая университетский период), хотя официально я работаю полный день около пяти лет. В этот период я разрабатывал системы смарт-контрактов, децентрализованные приложения и Web3-платформы, в том числе в OpenSea, Chainlink Labs и GreenBay", — гласил скрипт, который использовался для фальшивой личности по имени Генри Чан.

Как работают хакеры

Злоумышленники использовали AnyDesk для удаленного доступа и VPN для маскировки местоположения. Для общения и планирования задач они применяли Google-сервисы. В мае их операционные расходы составили $1489, включая аренду компьютеров и подписки на софт.

Транзакции проводились через Payoneer, а один из кошельков был связан с кражей $680 000 с маркетплейса Favrr в июне.

Любопытно, что в истории поиска взломанного аккаунта часто встречался запрос:

"Как понять, что они — северокорейцы?"

Также обнаружилось активное использование Google Translate с переводом с корейского через российский IP.

Почему их берут на работу

Блокчейн-детектив ZachXBT отметил, что проблема — в слабой проверке кандидатов и перегруженности HR-отделов.

"Основная проблема в борьбе с IT-специалистами из КНДР (DPRK ITWs) — отсутствие сотрудничества между госслужбами и частным сектором. Другая сложность — халатность рекрутинговых команд, которые начинают спорить при получении предупреждений", — подчеркнул он.

Binance и хакеры из КНДР

Джимми Су, главный директор по безопасности Binance, рассказал, что биржа ежедневно получает поддельные резюме от северокорейских хакеров.

Раньше они использовали шаблонные отклики с японскими и китайскими фамилиями, но теперь применяют дипфейки и голосовые модуляторы, выдавая себя за европейцев или жителей Ближнего Востока.

"Единственный надежный способ проверить кандидата — попросить его прикрыть лицо рукой. Глубокий фейк обычно "ломается", но мы не раскрываем все методы, чтобы не помогать хакерам", — отметил Су.

Binance никогда не нанимала агентов КНДР, но продолжает мониторить сотрудников. Подозрительные признаки:

1. Отсутствие перерывов (работа в несколько смен).
2. Задержки в ответах из-за использования переводчиков.

Другие методы Lazarus

Помимо трудоустройства, группировка Lazarus использует:

1. Вредоносные NPM-библиотеки — заражают открытые репозитории.
2. Фишинговые "собеседования" — предлагают обновить Zoom по фейковой ссылке.

В феврале Bybit потеряла $1,46 млрд из-за атаки, которую приписывают именно Lazarus.