Известный блокчейн-детектив ZachXBT сослался на расследование белого хакера, раскрывая, как пятерка северокорейских хакеров манипулировала подложными идентичностями для проникновения в проекты разработки. В этой статье подробно анализируются их рабочие методы, детали расходов и потоки финансирования, предоставляя ключевые рекомендации по предотвращению подобных угроз. Статья основана на работе ZachXBT и составлена, переведена и написана Azuma и Odaily. (Предыстория: Microsoft совместно с ФБР борется с мошенничеством северокорейских хакеров! Заморозка 3,000 счетов, выявление «подельников» из США) (Фоновая информация: биржа BitoPro подверглась взлому, расследование показало, что это работа северокорейской группы Lazarus! Социальная инженерия похитила 11.5 миллионов долларов) Северокорейские хакеры всегда были серьезной угрозой для криптовалютного рынка. В прошлом жертвы и работники безопасности могли только предполагать поведенческие модели северокорейских хакеров, основываясь на связанных с безопасностью инцидентах. Однако вчера известный блокчейн-детектив ZachXBT в своем последнем твите сослался на анализ расследования одного белого хакера, который противодействовал северокорейским хакерам, впервые с активной точки зрения раскрывая «рабочие» методы северокорейских хакеров, что может иметь определенное позитивное значение для предварительной безопасности проектов в отрасли. Ниже приведен полный текст от ZachXBT, переведенный Odaily. Некий анонимный хакер, пожелавший остаться неизвестным, недавно взломал устройство одного северокорейского IT-работника, что раскрыло внутренние дела пятерки технической команды, манипулирующей более чем 30 подложными идентичностями для своей деятельности. Эта команда не только имела поддельные удостоверения личности, выданные правительством, но и проникала в различные проекты разработки через покупку учетных записей Upwork/LinkedIn. Расследователи получили доступ к данным их Google Диска, профилям браузера Chrome и скриншотам устройств. Данные показывают, что команда сильно зависела от инструментов Google для координации рабочего расписания, распределения задач и управления бюджетом, все коммуникации велись на английском языке. В одном из еженедельных отчетов за 2025 год раскрыты рабочие методы этой хакерской группы и трудности, с которыми они столкнулись, например, некоторые участники жаловались, что «не могут понять требования к работе и не знают, что делать», а в разделе решений было записано «вкладываться больше и работать усерднее»... Запись расходов показывает, что их статьи расходов включают покупку Социального страхового номера (SSN), сделки с учетными записями Upwork и LinkedIn, аренду телефонных номеров, подписки на AI-сервисы, аренду компьютеров и закупку VPN/прокси-сервисов и т.д. В одной из электронных таблиц подробно записано расписание и сценарий разговора для участия в встрече под ложным именем «Генри Чжан». Операционный процесс показывает, что эти северокорейские IT-работники сначала покупают учетные записи Upwork и LinkedIn, арендуют компьютерное оборудование, а затем с помощью инструмента удаленного управления AnyDesk выполняют аутсорсинговую работу. Один из кошельков, который они использовали для получения и отправки средств, имеет следующий адрес: 0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c; этот адрес имеет тесную связь с атакой на протокол Favrr на сумму 680,000 долларов, произошедшей в июне 2025 года, после чего было подтверждено, что их технический директор и другие разработчики были северокорейскими IT-работниками с поддельными удостоверениями. Через этот адрес также были идентифицированы другие северокорейские IT-работники, участвующие в проникновении в проекты. В записях поиска и истории браузера этой группы также были найдены следующие доказательства. Некоторые могут спросить: «Как подтвердить, что они из Северной Кореи?» Помимо всех вышеописанных мошеннических документов, их история поиска также показала, что они часто использовали Google Translate и использовали российские IP для перевода на корейский язык. На данный момент основные проблемы компаний в предотвращении работы северокорейских IT-работников сосредоточены на следующих аспектах: Отсутствие системного сотрудничества: между платформенными провайдерами и частными компаниями отсутствует эффективный механизм обмена информацией и сотрудничества; Невнимательность со стороны работодателей: команды, нанимающие работников, часто демонстрируют защитное поведение после получения предупреждений о рисках и даже отказываются сотрудничать с расследованиями; Преимущества по количеству: хотя их технические средства несложны, они продолжают проникать на глобальный рынок труда благодаря огромному числу соискателей; Каналы перевода средств: такие платежные платформы, как Payoneer, часто используются для обмена доходов от разработки на фиатные деньги на криптовалюту; Я уже несколько раз упоминал о показателях, на которые следует обращать внимание, заинтересованные могут просмотреть мои исторические твиты, здесь не буду повторяться. Связанные сообщения Google Cloud предупреждает: атаки северокорейских IT-шпионов расширяются, глобальные компании должны быть настороже. Почему северокорейские хакеры Lazarus так сильны? Периодически нарушают безопасность крупных компаний, Лазарус становится машиной по зарабатыванию денег для Ким Чен Ына, развивая ядерное оружие. Северная Корея увеличила свои запасы Биткойнов на 13,000 монет, «стала третьей по величине державой», уступая только США и Великобритании, как хакеры Lazarus воздействуют на глобальные крипто-гонки вооружений? <Полный текст ZachXBT: после противодействия северокорейским хакерам я понял их «рабочие» методы> Эта статья впервые опубликована в BlockTempo, известном медиа-ресурсе о блокчейне.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Полный текст ZachXBT: После взлома оборудования северокорейских хакеров я понял их «рабочую» модель.
Известный блокчейн-детектив ZachXBT сослался на расследование белого хакера, раскрывая, как пятерка северокорейских хакеров манипулировала подложными идентичностями для проникновения в проекты разработки. В этой статье подробно анализируются их рабочие методы, детали расходов и потоки финансирования, предоставляя ключевые рекомендации по предотвращению подобных угроз. Статья основана на работе ZachXBT и составлена, переведена и написана Azuma и Odaily. (Предыстория: Microsoft совместно с ФБР борется с мошенничеством северокорейских хакеров! Заморозка 3,000 счетов, выявление «подельников» из США) (Фоновая информация: биржа BitoPro подверглась взлому, расследование показало, что это работа северокорейской группы Lazarus! Социальная инженерия похитила 11.5 миллионов долларов) Северокорейские хакеры всегда были серьезной угрозой для криптовалютного рынка. В прошлом жертвы и работники безопасности могли только предполагать поведенческие модели северокорейских хакеров, основываясь на связанных с безопасностью инцидентах. Однако вчера известный блокчейн-детектив ZachXBT в своем последнем твите сослался на анализ расследования одного белого хакера, который противодействовал северокорейским хакерам, впервые с активной точки зрения раскрывая «рабочие» методы северокорейских хакеров, что может иметь определенное позитивное значение для предварительной безопасности проектов в отрасли. Ниже приведен полный текст от ZachXBT, переведенный Odaily. Некий анонимный хакер, пожелавший остаться неизвестным, недавно взломал устройство одного северокорейского IT-работника, что раскрыло внутренние дела пятерки технической команды, манипулирующей более чем 30 подложными идентичностями для своей деятельности. Эта команда не только имела поддельные удостоверения личности, выданные правительством, но и проникала в различные проекты разработки через покупку учетных записей Upwork/LinkedIn. Расследователи получили доступ к данным их Google Диска, профилям браузера Chrome и скриншотам устройств. Данные показывают, что команда сильно зависела от инструментов Google для координации рабочего расписания, распределения задач и управления бюджетом, все коммуникации велись на английском языке. В одном из еженедельных отчетов за 2025 год раскрыты рабочие методы этой хакерской группы и трудности, с которыми они столкнулись, например, некоторые участники жаловались, что «не могут понять требования к работе и не знают, что делать», а в разделе решений было записано «вкладываться больше и работать усерднее»... Запись расходов показывает, что их статьи расходов включают покупку Социального страхового номера (SSN), сделки с учетными записями Upwork и LinkedIn, аренду телефонных номеров, подписки на AI-сервисы, аренду компьютеров и закупку VPN/прокси-сервисов и т.д. В одной из электронных таблиц подробно записано расписание и сценарий разговора для участия в встрече под ложным именем «Генри Чжан». Операционный процесс показывает, что эти северокорейские IT-работники сначала покупают учетные записи Upwork и LinkedIn, арендуют компьютерное оборудование, а затем с помощью инструмента удаленного управления AnyDesk выполняют аутсорсинговую работу. Один из кошельков, который они использовали для получения и отправки средств, имеет следующий адрес: 0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c; этот адрес имеет тесную связь с атакой на протокол Favrr на сумму 680,000 долларов, произошедшей в июне 2025 года, после чего было подтверждено, что их технический директор и другие разработчики были северокорейскими IT-работниками с поддельными удостоверениями. Через этот адрес также были идентифицированы другие северокорейские IT-работники, участвующие в проникновении в проекты. В записях поиска и истории браузера этой группы также были найдены следующие доказательства. Некоторые могут спросить: «Как подтвердить, что они из Северной Кореи?» Помимо всех вышеописанных мошеннических документов, их история поиска также показала, что они часто использовали Google Translate и использовали российские IP для перевода на корейский язык. На данный момент основные проблемы компаний в предотвращении работы северокорейских IT-работников сосредоточены на следующих аспектах: Отсутствие системного сотрудничества: между платформенными провайдерами и частными компаниями отсутствует эффективный механизм обмена информацией и сотрудничества; Невнимательность со стороны работодателей: команды, нанимающие работников, часто демонстрируют защитное поведение после получения предупреждений о рисках и даже отказываются сотрудничать с расследованиями; Преимущества по количеству: хотя их технические средства несложны, они продолжают проникать на глобальный рынок труда благодаря огромному числу соискателей; Каналы перевода средств: такие платежные платформы, как Payoneer, часто используются для обмена доходов от разработки на фиатные деньги на криптовалюту; Я уже несколько раз упоминал о показателях, на которые следует обращать внимание, заинтересованные могут просмотреть мои исторические твиты, здесь не буду повторяться. Связанные сообщения Google Cloud предупреждает: атаки северокорейских IT-шпионов расширяются, глобальные компании должны быть настороже. Почему северокорейские хакеры Lazarus так сильны? Периодически нарушают безопасность крупных компаний, Лазарус становится машиной по зарабатыванию денег для Ким Чен Ына, развивая ядерное оружие. Северная Корея увеличила свои запасы Биткойнов на 13,000 монет, «стала третьей по величине державой», уступая только США и Великобритании, как хакеры Lazarus воздействуют на глобальные крипто-гонки вооружений? <Полный текст ZachXBT: после противодействия северокорейским хакерам я понял их «рабочие» методы> Эта статья впервые опубликована в BlockTempo, известном медиа-ресурсе о блокчейне.