Північнокорейські хакерські угруповання суттєво посилили свою діяльність у сфері криптовалют, викравши понад $1,6 млрд лише протягом 2025 року. За даними Google Cloud та компанії Wiz, злочинці використовують фальшиві вакансії, складне шкідливе програмне забезпечення та соціальну інженерію для проникнення у хмарні сервіси великих криптокомпаній.
Про це розповідає ProIT
Техніки атак і цілі хакерів
Одна з найбільш активних груп — UNC4899, яку також ідентифікують під назвами TraderTraitor, Jade Sleet та Slow Pisces, здійснює складні атаки, використовуючи фейкові пропозиції працевлаштування. Злочинці вибудовують довіру через соціальні мережі, видаючи себе за рекрутерів, журналістів, професорів або експертів. Вони надсилають «тестові завдання», що насправді є шкідливими скриптами, після чого отримують віддалений доступ до хмарних середовищ компаній для викрадення облікових даних і контролю над вузлами, відповідальними за обробку криптотранзакцій.
У 2025 році ці атаки були успішно проведені принаймні на двох компаніях, які використовували сервіси Google Cloud та AWS. Внаслідок цього хакери вкрали кілька мільйонів доларів у різних криптовалютах.
«Вони активно будують довіру, спілкуються кілька разів і використовують штучний інтелект для створення більш правдоподібного листування».
Еволюція атак і масштаб збитків
TraderTraitor — це загальне позначення для серії атак, до яких причетні такі угруповання, як Lazarus Group, APT38, BlueNoroff та Stardust Chollima. Згідно з дослідженням Wiz, їхні кампанії розвиваються з 2020 року:
- У 2020-2022 роках хакери поширювали шкідливі криптозастосунки на базі JavaScript (Electron).
- 2023 року почали впроваджувати шкідливий відкритий код.
- У 2024-2025 роках атаки стали масовими через фейкові IT-вакансії, зокрема на криптобіржах.
Серед найгучніших атак — злам японської біржі DMM Bitcoin на $303 млн та біржі Bybit на $1,5 млрд, про який стало відомо в лютому 2025 року.
За словами експертів, TraderTraitor зосереджується на хмарних атаках, оскільки саме там зберігаються ключові дані та фінансові активи криптоіндустрії, що часто використовує підхід “cloud-first”.
Кількість хакерів, пов’язаних із TraderTraitor, може досягати тисяч осіб, які працюють у паралельних або взаємопов’язаних групах.
За оцінками TRM Labs, у першій половині 2025 року загальні втрати криптогалузі від хакерських атак перевищили $2,1 млрд.
Google вже попередили, що активність північнокорейських хакерів продовжує зростати, і не прогнозується її зменшення найближчим часом.
«Ми не бачимо жодних ознак уповільнення їхніх атак і очікуємо подальшого масштабування», — наголосив Коллієр.
Раніше експерти Google Threat Intelligence Group вже викривали методи роботи хакерів з КНДР. Також стало відомо, що американку засудили до 8,5 років позбавлення волі за допомогу північнокорейським хакерам у працевлаштуванні в компаніях США.