Северокорейские хакерские группировки значительно усилили свою деятельность в сфере криптовалют, украдя более $1,6 млрд только в течение 2025 года. По данным Google Cloud и компании Wiz, преступники используют поддельные вакансии, сложное вредоносное программное обеспечение и социальную инженерию для проникновения в облачные сервисы крупных криптокомпаний.
Об этом сообщает ProIT
Техники атак и цели хакеров
Одна из самых активных групп — UNC4899, которую также идентифицируют под названиями TraderTraitor, Jade Sleet и Slow Pisces, осуществляет сложные атаки, используя фейковые предложения о трудоустройстве. Преступники выстраивают доверие через социальные сети, выдавая себя за рекрутеров, журналистов, профессоров или экспертов. Они отправляют «тестовые задания», которые на самом деле являются вредоносными скриптами, после чего получают удаленный доступ к облачным средам компаний для кражи учетных данных и контроля над узлами, ответственными за обработку криптотранзакций.
В 2025 году эти атаки были успешно проведены как минимум на двух компаниях, которые использовали сервисы Google Cloud и AWS. В результате хакеры украли несколько миллионов долларов в различных криптовалютах.
«Они активно строят доверие, общаются несколько раз и используют искусственный интеллект для создания более правдоподобной переписки».
Эволюция атак и масштаб убытков
TraderTraitor — это общее обозначение для серии атак, к которым причастны такие группировки, как Lazarus Group, APT38, BlueNoroff и Stardust Chollima. Согласно исследованию Wiz, их кампании развиваются с 2020 года:
- В 2020-2022 годах хакеры распространяли вредоносные криптоприложения на базе JavaScript (Electron).
- В 2023 году начали внедрять вредоносный открытый код.
- В 2024-2025 годах атаки стали массовыми из-за фейковых IT-вакансий, в частности на криптобиржах.
Среди самых громких атак — взлом японской биржи DMM Bitcoin на $303 млн и биржи Bybit на $1,5 млрд, о котором стало известно в феврале 2025 года.
По словам экспертов, TraderTraitor сосредоточен на облачных атаках, так как именно там хранятся ключевые данные и финансовые активы криптоиндустрии, которая часто использует подход «cloud-first».
Количество хакеров, связанных с TraderTraitor, может достигать тысяч человек, работающих в параллельных или взаимосвязанных группах.
По оценкам TRM Labs, в первой половине 2025 года общие потери криптоиндустрии от хакерских атак превысили $2,1 млрд.
Google уже предупредили, что активность северокорейских хакеров продолжает расти, и не прогнозируется ее уменьшение в ближайшее время.
«Мы не видим никаких признаков замедления их атак и ожидаем дальнейшего масштабирования», — подчеркнул Коллиер.
Ранее эксперты Google Threat Intelligence Group уже раскрывали методы работы хакеров из КНДР. Также стало известно, что американку осудили на 8,5 лет лишения свободы за помощь северокорейским хакерам в трудоустройстве в компаниях США.