Чанпэн Чжао раскрыл тактики хакеров из Северной Кореи: как они проникают в криптокомпании

«Когда государство становится хакером, его атаки — это не просто кража. Это война без фронтов, где оружием являются резюме и доверие.»
— Эллисон Пирсон, директор по кибербезопасности Europol

В сентябре 2025 года бывший CEO Binance Чанпэн Чжао (CZ) сделал тревожное признание: топовые криптовалютные компании подвергаются систематическим атакам со стороны северокорейских хакеров, которые используют сложные методы социальной инженерии для проникновения внутрь организаций. В отличие от прямых взломов смарт-контрактов, эти атаки нацелены на самое слабое звено — людей.

По словам CZ, злоумышленники создают поддельные профили LinkedIn, позиционируя себя как опытных специалистов из США или Европы, и целенаправленно охотятся за вакансиями в финансовых, технических и безопасностных отделах. После трудоустройства они получают доступ к внутренним системам, кошелькам и стратегическим данным, что может привести к масштабным утечкам активов.

Как отметил Хакан Унал из Cyvers: «Сегодня самый опасный сотрудник — это тот, чье резюме выглядит слишком идеально.»

🔍 Кто такие Lazarus Group: цифровая армия Северной Кореи

Основная группа, стоящая за этими атаками, — Lazarus Group, киберпреступная организация, действующая под прикрытием правительства Северной Кореи. По данным ООН, с 2017 года эта группа похитила криптоактивов на сумму свыше $3 миллиардов, используя средства для финансирования ядерных программ и обхода международных санкций.

Известные атаки Lazarus:

• Взлом Ronin Bridge (2022): $625 млн украдено из сети Axie Infinity.
• Атака на Atomic Wallet (2023): $100+ млн через дрэйнеры.
• Взлом KLAYswap (2024): $200 млн с использованием поддельного обновления.
• Компрометация платформ DeFi: Множественные атаки через скомпрометированные private keys разработчиков.

Группа известна своей терпеливой, многоэтапной тактикой, которая может длиться месяцы — от создания легенды до получения полного контроля над системой.

💼 Трудоустройство как оружие: как работает атака

Тактика, раскрытая Чанпэн Чжао, представляет собой длинную игру (long con), в которой хакеры действуют как обычные кандидаты на работу, но с одной целью — получить доступ к внутренним ресурсам.

📝 Этап 1: Создание легенды

Злоумышленник создаёт профессиональный профиль на LinkedIn, GitHub и других платформах:

• Фальшивые рекомендации и опыт работы в известных компаниях (Google, Meta, Coinbase).
• Репозитории с качественным кодом (иногда — скопированным или модифицированным).
• Убедительная история карьеры, часто с акцентом на криптосекторе.

📩 Этап 2: Целевое применение

Они подают заявки на ключевые позиции:

• Разработчики смарт-контрактов.
• Инженеры безопасности.
• Специалисты по казначейству.
• Менеджеры продуктов в DeFi-проектах.

🔐 Этап 3: Получение доступа

После найма хакер начинает сбор данных:

• Доступ к внутренним документам, архитектуре сети, планам обновлений.
• Контакты с командой, включая лиц, имеющих доступ к горячим кошелькам.
• Права на запуск деплоя контрактов или управление пулов ликвидности.

💸 Этап 4: Исполнение

Через несколько месяцев или лет злоумышленник совершает кражу:

• Внедряет вредоносный код в обновление.
• Переводит средства через мосты.
• Продавливает изменения в governance, открывая путь для вывода средств.

Как сказал представитель FBI: «Это не хакинг. Это шпионаж. Они не ломаются внутрь. Их приглашают.»

⚠️ Примеры реальных случаев: когда "новый сотрудник" стал катастрофой

Хотя многие инциденты остаются закрытыми, известны случаи, где подобные тактики были применены.

🏦 Британская стартап-платформа (2024)

Стартап в области RWA был вынужден закрыться после того, как новый разработчик получил доступ к ключам управления и перевёл $23 млн в неизвестные адреса. Расследование показало, что его профиль на GitHub был создан всего за год до собеседования.

🌐 Аудиторская фирма (2023)

Специалист по безопасности, принятый в компанию, начал передавать конфиденциальные отчёты о уязвимостях третьим лицам. Выявлено только после того, как один из протестированных проектов был взломан.

🚀 Проект на Sui (2025)

Как сообщается, команда Nemo Protocol могла быть атакована через аналогичный вектор: недавно нанятый инженер имел необычно высокий уровень доступа к деплою. Хотя это не подтверждено, инцидент вызвал пересмотр политик найма в экосистеме Sui.

Как отметил Чарльз Гильем из Ledger: «Самый дорогой сотрудник — это тот, кто стоит $0, но открывает дверь для миллиона.»

🛡️ Как защититься: советы для компаний и HR

Защита от таких атак требует комплексного подхода, сочетающего кибербезопасность и процессы найма.

🔍 Для HR и рекрутеров

• Глубокая проверка профилей: анализ истории LinkedIn, GitHub, публикаций.
• Проверка контактов: связь с предыдущими работодателями напрямую.
• Отказ от удалённых собеседований только в Telegram/WhatsApp.
• Психологическая оценка: тестирование на стресс и поведение.

🔧 Для IT и безопасности

• Принцип минимальных привилегий: новым сотрудникам даются только необходимые права.
• Многоуровневые подписи (multisig) для любых операций с деньгами.
• Изолированные среды для разработки: запрет на использование личных устройств.
• Мониторинг аномального поведения: внезапные запросы на доступ к чувствительным данным.

🏢 Для руководства

• Обучение сотрудников основам кибербезопасности и социальной инженерии.
• Аудит процессов найма с привлечением внешних экспертов.
• Создание системы внутреннего доноса (whistleblower system).
• Политика разделения обязанностей (separation of duties).

Как сказал Скотт Дьюк Коминерс из a16z: «Безопасность начинается не с кода. Она начинается с первого интервью.»

🚨 Новые векторы атак: дрэйнеры как часть стратегии

Помимо найма, Lazarus Group активно использует и другие методы, которые дополняют их общую стратегию.

💉 Vanilla Drainer (2025)

Новое поколение дрэйнеров, продаваемое по модели SaaS (software-as-a-service), позволяет даже неопытным мошенникам арендовать вредоносное ПО за $100 в месяц. Эти дрэйнеры распространяются через:

• Поддельные airdrop-сайты.
• Фишинговые электронные письма.
• Поддельные расширения для браузеров (например, копия WalletConnect).

👁️ Blind Signing и UI-подмена

Как в случае с ByBit и Ledger (2025), хакеры могут внедрять вредоносный код в интерфейс кошелька, заставляя пользователя одобрить транзакцию, которую он не видит. Это особенно эффективно против технических специалистов.

📱 Приложения-ловушки

В Замбии была разоблачена схема, где мошенники создали серию приложений, имитирующих легальные сервисы. Через них было похищено $300 миллионов у 65 000 пользователей.

Как сказал Виталик Бутерин: «Когда вредоносное ПО выглядит как легальное, граница между пользователем и жертвой исчезает.»

🌐 Почему Северная Корея выбирает криптовалюты?

Криптовалюты стали идеальным инструментом для режима, находящегося под жёсткими санкциями.

🚫 Обход санкций

Традиционные банковские каналы (SWIFT) заблокированы. Криптовалюты позволяют переводить средства напрямую, минуя регуляторов.

🌍 Анонимность и децентрализация

Сложность отслеживания средств делает крипто более привлекательной, чем фиатные переводы.

💻 Доступность талантов

Северная Корея готовит высококвалифицированных программистов, которых направляет на работу в Китай, Россию и Юго-Восточную Азию, где они ведут атаки удалённо.

💰 Высокая доходность

Одна успешная атака может обеспечить страну средствами на месяцы. Например, $625 млн с Ronin Bridge эквивалентны нескольким годовым бюджетам некоторых малых государств.

Как отметил Паоло Ардоино из Tether: «Каждый доллар, украденный из Web3, финансирует не просто преступление. Он финансирует государство.»

✅ Будущее защиты: от реактивной к проактивной безопасности

Индустрия должна изменить свой подход к безопасности.

🧠 Интеграция киберразведки в найм

Компании должны использовать спецслужбы и частные агентства для проверки кандидатов, как это делают банки и правительства.

🛡️ Автономные протоколы

Переход к системам, которые работают без централизованных ботов и админ-ключей, снижает риски от внутренних угроз.

📊 Постоянный мониторинг

Использование ИИ для анализа поведения сотрудников и выявления аномалий в реальном времени.

🤝 Международное сотрудничество

Обмен данными между компаниями, Interpol, Europol и ФБР для быстрого реагирования на угрозы.

💡 Образование

Создание курсов по кибербезопасности для разработчиков, HR и менеджеров.

Как сказал Андреас Антонопулос: «Будущее Web3 зависит не от скорости транзакций, а от способности противостоять самым изощрённым врагам.»

✅ Выводы: война за будущее финансов

Предупреждение Чанпэна Чжао — это не просто совет. Это тревожный сигнал для всей индустрии. Мы больше не живём в мире, где безопасность ограничивается паролями и двухфакторной аутентификацией. Теперь она включает проверку каждого резюме, каждого собеседования и каждого нового сотрудника.

Ключевые выводы:

• Северокорейская группа Lazarus использует найм как вектор атаки.
• Хакеры создают фальшивые профили, чтобы попасть в крипокомпании.
• Цель — долгосрочный доступ к казначейству и внутренним системам.
• Тактики включают дрэйнеры, blind signing и поддельные приложения.
• Крипто привлекает Северную Корею из-за анонимности и обхода санкций.
• Будущее безопасности — в проактивной проверке и автономных системах.

Как сказал Майкл Сэйлор: «В эпоху цифровых войн, каждый сотрудник — это потенциальный фронт.»

Конфликт за контроль над цифровыми активами вышел за пределы кода и блокчейнов. Он переместился в офисы, на Zoom-собеседования и в профили LinkedIn. И пока мы будем верить, что безопасность — это только задача IT-отдела, наши двери будут открыты для тех, кто приходит с резюме, а не с брутфорсом. Защита Web3 начинается не с аудита смарт-контрактов, а с вопроса: «Кто вы на самом деле?»