Северокорейские хакеры используют фриланс-методы для кражи миллионов долларов в криптовалюте через облачные системы

Группа хакеров из Северной Кореи, известная как TraderTraitor, использовала объявления о фриланс-работе для доступа к облачным системам IT-компаний и кражи криптовалют. Это подтверждается отчетами Google Cloud и Wiz.

Согласно имеющейся информации, также известная как UNC4899, данная группа осуществила взлом двух компаний, имена которых не раскрываются, в период с июля 2024 года по январь 2025 года. Под прикрытием соискателей хакеры установили контакт с работниками целевых организаций через социальные сети и убедили их установить вредоносное программное обеспечение на рабочие компьютеры.

Это дало возможность злоумышленникам получить доступ к облачным платформам Google Cloud и Amazon Web Services, а также выявить хосты, задействованные в криптовалютных транзакциях.

В результате этих атак было украдено несколько миллионов долларов в криптовалюте.

Представители Google отметили, что подобные атаки под предлогом трудоустройства стали обычной практикой среди северокорейских хакеров.

«Они часто выдают себя за рекрутеров, журналистов, экспертов или преподавателей колледжей, когда выходят на связь с потенциальными жертвами», — комментируют профессионалы.

Для создания «более правдоподобных писем» и разработки вредоносных скриптов киберпреступники активно используют искусственный интеллект. Нацеливание на облачные технологии позволяет хакерским группам охватывать широкий спектр объектов, что увеличивает их потенциальную выгоду.

Как сообщает Wiz, деятельность TraderTraitor началась еще в 2020 году, и за атаками стоят структуры, такие как Lazarus Group, APT38, BlueNoroff и Stardust Chollima. За первые два года группе удалось осуществить взлом нескольких организаций, включая сайдчейн Ronin Network в игре Axie Infinity с убытками в $620 миллионов.

В 2024 году киберпреступники активизировали свои действия, распространяя поддельные резюме среди соискателей на биткоин-биржах. Эксперты считают TraderTraitor ответственными за взлом японской платформы DMM Bitcoin с убытками в $305 миллионов и атаку на Bybit, где убытки составили $1,5 миллиарда.

Согласно оценкам TRM Labs, за первую половину 2025 года северокорейские группировки похитили $1,6 миллиарда, что составляет 70% от всех краж в этот период.