Современный мир криптовалют привлекает не только инвесторов и разработчиков, но и киберпреступников, которые ищут все более изощренные способы для хищения цифровых активов. Одним из активных игроков на этом поле стала Северная Корея, чьи хакеры значительно расширили спектр своих методов атак. Их деятельность характеризуется использованием новых и все более сложных тактик, направленных на кражу криптовалюты и данных крипторазработчиков. Одной из наиболее примечательных особенностей северокорейских атак стало создание подставных компаний на территории США. Впервые такое явление было отмечено исследователями компании Silent Push, которые обнаружили, что злоумышленники регистрировали реальные юридические лица для привлечения криптовалютных специалистов и распространения вредоносного ПО.
Среди таких компаний выделяются Blocknovas LLC, Softglide LLC и Angeloper Agency. Особенно активно действовала Blocknovas LLC, зарегистрированная в Нью-Мексико, работавшая под фальшивыми личностями и адресами. Эта стратегия позволяет злоумышленникам создавать видимость легитимного бизнеса, что помогает им привлекать соискателей на работу и собеседования. Северокорейские хакеры используют платформу Zoom для проведения виртуальных интервью, во время которых внедряют разнообразные уловки: могут создавать технические сложности с аудио или видео, после чего просят кандидатов перейти по ссылке, за которой скрывается вредоносное программное обеспечение. Такой подход породил название «Contagious Interview» — подгруппа знаменитой северокорейской кибергруппировки Lazarus Group, специализирующаяся именно на этих типах атак.
По словам экспертов, в ходе таких виртуальных собеседований разрабатывается сложное вредоносное программное обеспечение, способное похищать данные из криптовалютных кошельков и учетные данные пользователей. Это дает злоумышленникам возможность не только украсть средства, но и использовать похищенную информацию для дальнейших атак на другие компании и отдельных пользователей. Другим значимым направлением атаки северокорейских хакеров стала интеграция вредоносного кода в репозитории GitHub и пакеты NPM, широко используемые разработчиками криптоиндустрии. Такие атаки, называемые supply chain (атаки на цепочку поставок), позволяют получать доступ к огромному количеству конечных пользователей вредоносного ПО через доверенные ресурсы. Вирус, известный как Marstech1, особенно опасен тем, что ориентируется на популярные криптокошельки, включая MetaMask, Exodus и Atomic Wallet.
Анализ компании SecurityScorecard показал, что начиная с августа 2024 года и вплоть до января 2025-го более 200 пользователей стали жертвами данной кампании. Пример использования вредоносного скрипта в репозиториях существенно осложняет борьбу с этим видом угроз, так как злоумышленники маскируют вредоносный код среди законных и необходимых для работы библиотек. Важным событием стала оперативная реакция правоохранительных органов. Так, ФБР в рамках расследования изъяло домен Blocknovas, который использовался для заманивания жертв и распространения вредоносного ПО. Несмотря на эти меры, сайты Softglide LLC и Angeloper Agency оставались в работе, что говорит о сохраняющейся активности группы.
Все эти факты подчеркивают масштаб и уровень организации, с которыми действует северокорейская киберактивность, что делает ее одной из самых опасных для криптоиндустрии. Основная цель злоумышленников — кража значительных сумм в криптовалюте и похищение ценных данных разработчиков, которые могут быть использованы для осуществления более грандиозных кибератак. Кроме технологических аспектов, также стоит отметить внимательность и профессионализм потенциальных жертв и специалистов по кибербезопасности. Некоторые разработчики сумели распознать подозрительные моменты на виртуальных собеседованиях и избежать заражения. Информация о подобных случаях помогает сообществу предупреждать и блокировать новые попытки атак.
Такое развитие киберугроз заставляет криптоиндустрию и государственные органы усиливать защиту и проводить обучение специалистов. Внедрение многофакторной аутентификации, регулярный аудит используемых пакетов и программного обеспечения, акцент на проверку легитимности предложений о работе — все это становится необходимой частью стратегии кибербезопасности. Кроме того, крупные компании и разработчики приобретают все больше значение в борьбе с такими угрозами, внедряя системы мониторинга и автоматического анализа кодовой базы на наличие вредоносных элементов. Партнерство между частным сектором и государственными структурами способствует быстрому реагированию на инциденты и смягчению их последствий. Кейс северокорейских атак демонстрирует, что государственные хакерские группировки выходят за рамки традиционных методов взлома, превращая процесс в сложную корпоративную операцию с элементами социальной инженерии и развитой инфраструктурой.
Это требует переосмысления подходов к безопасности и более тесного международного сотрудничества в деле противодействия киберугрозам. Таким образом, криптоиндустрии необходимо постоянно адаптировать свои меры безопасности к постоянно меняющейся и усложняющейся киберсреде. Новые методы северокорейских хакеров, включающие создание юридических лиц, использование популярных платформ для собеседований и внедрение вредоносного кода в широко используемые программные библиотеки, требуют от специалистов повышенного внимания. Только комплексный и системный подход к защите цифровых активов и данных поможет минимизировать риски и сохранить доверие пользователей к криптовалютным технологиям.
