Скомпрометований пристрій працівника ІТ з Північної Кореї виявив внутрішню роботу команди, яка стоїть за $680,000 хакерською атакою на Favrr та їх використанням інструментів Google для націлювання на криптопроекти.
Резюме
Скомпрометований пристрій, що належить IT-спеціалісту з Північної Кореї, розкрив внутрішні механізми загрозливих акторів.
Докази показують, що оперативники використовували інструменти на базі Google, AnyDesk та VPN для проникнення в криптофірми.
Згідно з інформацією від аналітика блокчейну ZachXBT, слід почався з неназваного джерела, яке отримало доступ до комп'ютера одного з працівників, виявивши скріншоти, експорти з Google Drive та профілі Chrome, які відкрили завісу над тим, як оперативники планували та реалізовували свої схеми.
Спираючись на активність гаманців та звіряючи цифрові відбитки, ZachXBT підтвердив джерело матеріалів і пов’язав криптовалютні операції групи з експлуатацією ринку фан-токенів Favrr у червні 2025 року. Одна адреса гаманця, "0x78e1a", показала прямі зв’язки з викраденими коштами з цього інциденту.
Всередині операції
Скомпрометований пристрій показав, що маленька команда — всього шість учасників — поділилася принаймні 31 підробленою особистістю. Щоб отримати роботи з розробки блокчейну, вони зібрали видані урядом посвідчення особи та номери телефонів, навіть купуючи акаунти LinkedIn та Upwork, щоб завершити своє прикриття.
Сценарій інтерв'ю, знайдений на пристрої, показав, що вони хваляться досвідом роботи в відомих блокчейн-компаніях, включаючи Polygon Labs, OpenSea та Chainlink.
Інструменти Google були центральними в їх організованому робочому процесі. Загроза виявилася в тому, що зловмисники використовували таблиці Google Drive для відстеження бюджетів і графіків, тоді як Google Translate заповнював мовний бар'єр між корейською та англійською.
Серед інформації, отриманої з пристрою, була електронна таблиця, в якій показано, що працівники ІТ орендували комп'ютери та платили за доступ до VPN, щоб купувати нові облікові записи для своїх операцій.
Команда також покладалася на інструменти віддаленого доступу, такі як AnyDesk, що дозволяло їм контролювати системи клієнтів, не розкриваючи своїх справжніх місць розташування. Журнали VPN пов'язували їхню діяльність з кількома регіонами, маскуючи північнокорейські IP-адреси.
Додаткові висновки виявили, що група шукає способи розгортання токенів на різних блокчейнах, досліджує AI-фірми в Європі та складає нові цілі в криптопросторі.
Північнокорейські загрози використовують віддалену роботу
ZachXBT виявив ту ж саму схему, вказану в кількох звітах про кібербезпеку — північнокорейські ІТ-робітники отримують законні віддалені роботи, щоб проникнути в криптосектор. Прикидаючись фріланс-розробниками, вони отримують доступ до репозиторіїв коду, бекенд-систем і інфраструктури гаманців.
Один документ, виявлений на пристрої, містив нотатки інтерв'ю та матеріали підготовки, які, ймовірно, мали бути на екрані або під рукою під час дзвінків з потенційними роботодавцями.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Північнокорейські ІТ-робітники використовували понад 30 підроблених документів для атаки на криптовалютні компанії: звіт
Скомпрометований пристрій працівника ІТ з Північної Кореї виявив внутрішню роботу команди, яка стоїть за $680,000 хакерською атакою на Favrr та їх використанням інструментів Google для націлювання на криптопроекти.
Резюме
Згідно з інформацією від аналітика блокчейну ZachXBT, слід почався з неназваного джерела, яке отримало доступ до комп'ютера одного з працівників, виявивши скріншоти, експорти з Google Drive та профілі Chrome, які відкрили завісу над тим, як оперативники планували та реалізовували свої схеми.
Спираючись на активність гаманців та звіряючи цифрові відбитки, ZachXBT підтвердив джерело матеріалів і пов’язав криптовалютні операції групи з експлуатацією ринку фан-токенів Favrr у червні 2025 року. Одна адреса гаманця, "0x78e1a", показала прямі зв’язки з викраденими коштами з цього інциденту.
Всередині операції
Скомпрометований пристрій показав, що маленька команда — всього шість учасників — поділилася принаймні 31 підробленою особистістю. Щоб отримати роботи з розробки блокчейну, вони зібрали видані урядом посвідчення особи та номери телефонів, навіть купуючи акаунти LinkedIn та Upwork, щоб завершити своє прикриття.
Сценарій інтерв'ю, знайдений на пристрої, показав, що вони хваляться досвідом роботи в відомих блокчейн-компаніях, включаючи Polygon Labs, OpenSea та Chainlink.
Інструменти Google були центральними в їх організованому робочому процесі. Загроза виявилася в тому, що зловмисники використовували таблиці Google Drive для відстеження бюджетів і графіків, тоді як Google Translate заповнював мовний бар'єр між корейською та англійською.
Серед інформації, отриманої з пристрою, була електронна таблиця, в якій показано, що працівники ІТ орендували комп'ютери та платили за доступ до VPN, щоб купувати нові облікові записи для своїх операцій.
Команда також покладалася на інструменти віддаленого доступу, такі як AnyDesk, що дозволяло їм контролювати системи клієнтів, не розкриваючи своїх справжніх місць розташування. Журнали VPN пов'язували їхню діяльність з кількома регіонами, маскуючи північнокорейські IP-адреси.
Додаткові висновки виявили, що група шукає способи розгортання токенів на різних блокчейнах, досліджує AI-фірми в Європі та складає нові цілі в криптопросторі.
Північнокорейські загрози використовують віддалену роботу
ZachXBT виявив ту ж саму схему, вказану в кількох звітах про кібербезпеку — північнокорейські ІТ-робітники отримують законні віддалені роботи, щоб проникнути в криптосектор. Прикидаючись фріланс-розробниками, вони отримують доступ до репозиторіїв коду, бекенд-систем і інфраструктури гаманців.
Один документ, виявлений на пристрої, містив нотатки інтерв'ю та матеріали підготовки, які, ймовірно, мали бути на екрані або під рукою під час дзвінків з потенційними роботодавцями.