По словам специалиста, более 40 крупных криптоплатформ, в том числе известные, в какой‑то момент нанимали северокорейских разработчиков. У айтишников из КНДР есть реальный многолетний опыт работы с блокчейном, из‑за чего криптовалютным компаниям сложно выявить потенциальные риски, обратил внимание Монахан. И добавил: это также связано с удаленным форматом работы большинства платформ.
Блокчейн‑исследователь ZachXBT в ответ на твит представителя MetaMask сообщил, что тактика злоумышленников из КНДР довольно проста: они массово откликаются на объявления о вакансиях, рассылают запросы через LinkedIn, созваниваются в Zoom и участвуют в собеседованиях. Их важная особенность — настойчивость, указал анонимный криптодетектив.
В последнее время северокорейские хакеры из самой известной группировки Lazarus стали привлекать к работе граждан других стран, рассказал основатель Titan Exchange Тим Алл (Tim Ahhl). Ранее его команда пригласила на собеседование кандидата, который оказался нанятым Lazarus — его имя фигурировало в утечке информации о группировке. По словам Алла, кандидат проводил видеозвонки и был чрезвычайно квалифицирован, но отказался от личной встречи.
Платформа Bitrefill, которая подверглась атаке 1 марта, пострадала именно из-за трудоустроенного хакера Lazarus. Группировка воспользовалась старым паролем сотрудника, чтобы получить доступ к копии конфиденциальных производственных данных. Затем Lazarus проникла в базы данных и криптокошельки, похитив средства и данные 18 500 пользователей.
С северокорейскими хакерами также связывают взлом протокола Drift на $280 млн. В результате расследования инцидента выяснилось: скомпрометированные подписи были получены в ходе шестимесячной фишинговой схемы, сообщил сам протокол. Представители Drift познакомились на крупной криптоконференции с группой лиц, которые представились сотрудниками торговой фирмы, желающей стать партнером протокола. У этих специалистов были хорошие резюме с большим опытом работы, они взаимодействовали с несколькими участниками проекта, провели множество рабочих сессий, задавали подробные и грамотные вопросы о продукте и внесли более 1 млн долларов собственного капитала, утверждает Drift.
По разным оценкам, с 2017 года Lazarus похитила криптовалюту на сумму около $7 млрд. Согласно многочисленным расследованиям, северокорейские хакеры работают в большинстве своем на государство и ответственны за пополнение бюджета властей КНДР активами на огромные по масштабам страны суммы.
Среди крупнейших атак, приписываемых Lazarus: взлом Ronin Bridge в 2022 году, в результате которого было похищено $625 млн, утечка данных на платформе WazirX в 2024 году с ущербом в $235 млн и кража на бирже Bybit в 2025 году, где злоумышленники вывели $1,4 млрд.