Новые угрозы в области кибербезопасности продолжают развиваться вместе с ростом популярности криптовалют и Web3. Одной из самых опасных тенденций последних лет становятся хакерские атаки, происходящие не через прямое взломы, а с помощью тщательно подготовленных мошеннических схем, которые начинаются с фальшивого предложения о работе. Северокорейские хакерские группы, в особенности печально известная Lazarus Group и её подразделение BlueNoroff, активно используют такой подход, чтобы внедриться в компании и проекты криптосферы, получить доступ к кошелькам, репозиториям кода и внутренней инфраструктуре. Эта новая угроза — пример того, как государственные структуры применяют сложные кибершпионские тактики для достижения своих целей. Вместо привычного силового взлома теперь атака начинается с доверия.
Хакеры тщательно разрабатывают образ потенциального работодателя, используя созвучные имена, похожие на настоящие крипто-консалтинговые фирмы, которые зачастую зарегистрированы даже в США. Среди таких фиктивных компаний выделяются BlockNovas, Angeloper и SoftGlide. Профессионально составленные сообщения в LinkedIn становятся первыми точками контакта с потенциальными жертвами — разработчиками Web3, которые в большинстве своём находятся в поиске новых возможностей и готовы принимать предложения в условиях неопределённого и нисходящего рынка. Приглашение на собеседование в Zoom создаёт у кандидатов ощущение легитимности, особенно когда видео и аудио транслируют образы топ-менеджеров компании. Однако лица на экране зачастую не реальные сотрудники — для их создания используется продвинутая технология deepfake, которая может практически неотличимо имитировать голос и внешность известного фигуранта.
Атака продолжается под видом «технической оценки»: кандидату высылают файл для выполнения определённого задания. На самом деле этот файл — вредоносное программное обеспечение, способное незаметно заражать устройства жертвы. Вирус под названием BeaverTail, например, способен похищать данные из криптокошельков, извлекать данные из расширений браузеров вроде MetaMask, а также выуживать критические учетные данные из GitHub и искать секретные фразы восстановления из обычных текстовых файлов. Это даёт злоумышленникам практически полный контроль над цифровыми активами и проектными репозиториями.Ещё одна проблематичная сторона — это острый дефицит квалифицированных крипторазработчиков.
С каждым годом количество активных новых специалистов в этой области снижается, что приводит к высокой концентрации полномочий в руках ограниченного числа экспертов. При всём этом доступ из-за удалённого характера работы зачастую обеспечивается из любой точки мира, что увеличивает риски социальной инженерии и манипуляций.Нельзя не отметить, что такие операции проводятся при поддержке правительства Северной Кореи и относятся к государственно спонсируемым. За последние несколько лет Lazarus Group и другие связанные с ней объединения похитили криптовалюту на сумму более полутора миллиардов долларов. Самые громкие атаки включают взлом мостов Ronin/Axie Infinity на сумму более 600 миллионов долларов в 2022 году, а также недавнюю кражу на платформе Bybit в 2025 году на сумму около 1,5 миллиарда.
Украденные средства обычно проходят множество транзакций через миксеры и анонимизаторы, такие как Tornado Cash, Sinbad и THORChain, чтобы скрыть следы и легализовать активы.Власти США и других стран начали постепенно отвечать на эти вызовы. Так, в апреле 2025 года ФБР сумело заблокировать доменное имя BlockNovas, связанное с мошенническими схемами. Национальные правоохранительные органы следят за подозрительными доменами, отслеживают блокчейн-транзакции и изымают украденные средства, как это произошло с $7,74 миллионами, задержанными в рамках расследований. Однако масштабы операций Северной Кореи столь велики и постоянно обновляются.
Появляются новые подставные компании, создаются новые разновидности вредоносных программ, а методы социальной инженерии становятся всё совершеннее.Роль разработчиков в Web3 выходит далеко за рамки обычных функций сотрудников. Они часто имеют критический доступ к смарт-контрактам, мостам, децентрализованным приложениям и другим важным элементам инфраструктуры, которые управляют десятками и сотнями миллионов, а порой и миллиардами долларов в криптовалютах. Угроза компрометации одного такого специалиста может привести к серьёзным и масштабным потерям для проекта и всей экосистемы.В условиях удалённой работы и глобального распределения талантов доверие зачастую формируется исключительно на цифровых коммуникациях.
Это добавляет пазлов в проблему безопасности, поскольку мошенники могут искусно манипулировать восприятием и проверками для проникновения. Искусственный интеллект и технологии deepfake усиливают эту проблему, создавая ложные, но убедительные цифровые личности, которые легко проходят поверхностные HR-процессы.Современные методы, применяемые в таких атаках, включают поддельные ссылки на платформы планирования встреч вроде Calendly, приглашения на Google Meet и даже клонированные версии Zoom, что затрудняет выявление опасных элементов. Вредоносное ПО регулярно обновляется, чтобы поддерживать кроссплатформенную совместимость и обходить защитные механизмы.Помимо технической стороны, масштабы успешных атак свидетельствуют о том, насколько глубокую цифровую «армии» наращивает Пхеньян, активно используя киберпространство для получения финансовых и политических преимуществ.
В 2024 году на долю северокорейских групп пришлось 47 крупных хакерских взломов, что составило более 60% всех зарегистрированных краж криптовалют за год.Ситуация с Северной Кореей — это яркое предупреждение всем участникам криптоиндустрии. Нужно уделять максимум внимания не только защите кода и инфраструктуры, но и безопасности процессов найма и коммуникации с сотрудниками, ведь доверие атакующих может стоить десятки и сотни миллионов долларов. В условиях растущей сложности методов атак и снижения количества квалифицированных специалистов ключевым становится внедрение цепочек безопасности по всем этапам разработки и работы с цифровыми активами.Северокорейские тактики демонстрируют, как продвинутые государственные хакерские операции могут угрожать всему блокчейн-сообществу.
Обеспечение безопасности передовых технологий и прозрачность использования ресурсов — важные задачи, требующие объединения усилий разработчиков, компаний и международных правоохранителей. Поддержка образовательных инициатив и развитие инфраструктуры безопасного найма в криптоэкосистеме станут ключевыми шагами для защиты цифровых активов от подобных угроз в будущем. Введение и постоянное совершенствование многоуровневых систем верификации, обучение сотрудников распознаванию фишингов и глубинной социальной инженерии помогут снизить риски проникновения мошенников, ведь каждая уязвимость может стать входной дверью для масштабных атак. Криптоиндустрия продолжает активно расти и развиваться, а методы кибератак также эволюционируют, становясь умнее и изощреннее. Борьба с такими угрозами требует не только технических инноваций, но и глобальной координации, обмена информацией и международного сотрудничества.
Текущие уроки и вызовы северокорейских кибератак подчеркивают важность комплексного подхода к безопасности в цифровом мире, где доверие и технологии тесно переплетены.
