Вход

Зак Чжоу: ИТ-работники из Северной Кореи совершили более 25 кибератак в криптоиндустрии

«Когда государство превращает своих программистов в цифровых солдат, граница между работой и шпионажем исчезает.»
— Хакан Унал, руководитель отдела безопасности Cyvers

В сентябре 2025 года известный аналитик блокчейна и охотник за хакерами Зак Чжоу (ZachXBT) сделал тревожное заявление: по его данным, ИТ-специалисты из Северной Кореи причастны как минимум к 25 инцидентам взломов, вымогательств и краж криптоактивов. Эти атаки были направлены против компаний, работающих в сфере Web3, DeFi, NFT и криптобирж, и привели к утечкам средств на миллиарды долларов.

Сообщение было сделано в ответ на пост CEO платформы Replit Амджада Масада, который заявил, что северокорейские удалённые работники приходят на рынок США не для шпионажа, а чтобы «заработать деньги». Зак Чжоу резко опроверг это, назвав подобное мнение «распространённым заблуждением», и представил доказательства того, что многие из этих специалистов действуют с целью получения доступа к внутренним системам компаний для последующего киберпреступления.

Как отметил Чарльз Гильем из Ledger: «Сегодня самый опасный сотрудник — это тот, чьё резюме написано с помощью ИИ, а лояльность продана государству.»

🔍 Кто такие "IT-работники из КНДР": цифровая армия Пхеньяна

Под термином «IT-работники Северной Кореи» (North Korean IT Workers, DPRK ITWs) понимаются программисты и специалисты по кибербезопасности, которые официально или неофициально работают на правительство Северной Кореи. По данным ООН, эти группы являются частью государственной программы по обходу экономических санкций через легальные и нелегальные источники дохода.

Их ключевые характеристики:

  • Высокий уровень подготовки — они проходят строгую подготовку в специализированных университетах, таких как Университет Коммунистической партии КНДР.
  • Работа из-за рубежа — многие трудятся удалённо из Китая, России и Юго-Восточной Азии, скрывая своё происхождение.
  • Обязанность отчислять до 90% дохода государству.
  • Использование передовых технологий — включая ИИ, фишинговые кампании и социальную инженерию.

Эти специалисты не просто пишут код — они являются частью государственной киберармии, цель которой — финансировать ядерную программу и военные нужды через криптовалюты.

💼 Как они проникают в компании: тактика маскировки

Способ, который использует Зак Чжоу для раскрытия этих операций, — анализ цепочек транзакций, поведения на форумах и цифровых следов. Он установил, что северокорейские хакеры используют сложные методы для проникновения в западные криптокомпании.

🎭 Создание легенды

Хакеры создают профессиональные профили на LinkedIn, GitHub, Upwork и других платформах:

  • Фальшивые рекомендации и опыт работы в компаниях вроде Google, Meta, Amazon.
  • Публичные репозитории с качественным, но часто скопированным кодом.
  • Английский язык высокого уровня, без характерных ошибок.

🧠 Использование ИИ для обмана собеседований

Как показал Амджад Масад, некоторые кандидаты используют AI-фильтры и чит-инструменты во время интервью:

  • Голосовые фильтры, имитирующие акцент из США или Европы.
  • Программы, которые в реальном времени подсказывают правильные ответы.
  • Генерация ответов на технические вопросы с помощью LLM, таких как GPT-4.

📬 Подача заявок на ключевые позиции

Они целенаправленно подаются на должности, дающие доступ к критически важным системам:

  • Разработчики смарт-контрактов — могут внедрить вредоносный код.
  • Инженеры безопасности — получают доступ к уязвимостям и протоколам.
  • Финансисты и казначеи — контролируют движение средств.
  • Менеджеры продуктов DeFi — участвуют в принятии решений о деплое.

🔐 Получение доступа и выполнение атаки

После найма злоумышленник может годами работать, не вызывая подозрений, прежде чем совершить кражу:

  • Перехват данных о предстоящих обновлениях.
  • Установка бэкдоров в код.
  • Кража приватных ключей или seed-фраз.
  • Инициирование крупного вывода средств.

Как сказал представитель FBI: «Они не ломаются внутрь. Их приглашают. Это делает их самыми опасными хакерами.»

🚨 Подтверждённые случаи: когда теория стала реальностью

Зак Чжоу привёл несколько примеров, где его расследования указывали на участие северокорейских хакеров.

🏦 Взлом Ronin Bridge (2022): $625 млн

Одна из крупнейших краж в истории DeFi была совершена после того, как хакеры внедрились в компанию Axie Infinity. Расследование показало, что один из разработчиков мог быть связан с КНДР.

💸 Kinto (июль 2025): $1,9 млн

Проект Ethereum L2 был закрыт после масштабного взлома. Хотя причина официально — неаудированный код, есть данные о возможной утечке через сотрудника.

💔 Lykke (сентябрь 2025): $22,8 млн

Британская стартап-платформа прекратила существование после кражи активов. Интерпол связывает инцидент с группой Lazarus, действующей под прикрытием Пхеньяна.

🌐 Sf.fund (сентябрь 2025): $74,25 млн

Seedify’s децентрализованный фонд потерял почти все средства через эксплуатацию уязвимости моста. Атака была совершена после захвата админ-ключа, что вызвало подозрения в инсайдерской помощи.

Как отметил Паоло Ардоино из Tether: «Каждый доллар, украденный из Web3, финансирует не просто преступление. Он финансирует режим.»

⚠️ Почему это работает: слабые места индустрии

Несмотря на предупреждения, угроза остаётся актуальной из-за нескольких факторов.

🌍 Глобальный рынок труда

Криптоиндустрия активно использует удалённые команды, что усложняет проверку географического положения и паспортных данных.

💼 Дефицит квалифицированных кадров

Компании готовы нанимать быстро, чтобы не отставать от конкурентов, что снижает порог проверки.

🔐 Недостаточная проверка безопасности

Многие стартапы не проводят глубокую верификацию, не проверяют IP-адреса, не используют видеосессии для подтверждения личности.

🤖 Доступность ИИ-инструментов

Генерация резюме, симуляция голоса, автоматический ответ на технические вопросы — всё это делает кандидатов практически неотличимыми от настоящих специалистов.

📉 Отсутствие общих баз данных

Нет единой системы, где бы фиксировались подозрительные профили или IP-адреса, что позволяет злоумышленникам переходить от одной компании к другой.

Как сказал Скотт Дьюк Коминерс из a16z: «Когда ты нанимаешь человека, ты нанимаешь не только его навыки. Ты нанимаешь его страну.»

🛡️ Защита от угрозы: что могут сделать компании

Защита требует комплексного подхода, сочетающего технологии и процессы.

🔍 Для HR и рекрутеров

  • Глубокая проверка профилей: анализ истории LinkedIn, GitHub, коммитов, отзывов.
  • Проверка контактов: звонки предыдущим работодателям, особенно если они из США/Европы.
  • Видеособеседования без фильтров: запрос на отключение всех эффектов.
  • Отказ от Telegram/WhatsApp как основного канала связи.

🔧 Для IT и безопасности

  • Принцип минимальных привилегий: новым сотрудникам — только необходимые права.
  • Многоуровневые подписи (multisig) для любых операций с деньгами.
  • Мониторинг аномального поведения: скачки активности, доступ к чувствительным данным.
  • Изолированные среды: запрет на использование личных устройств для работы.

🏢 Для руководства

  • Обучение персонала основам кибербезопасности и социальной инженерии.
  • Аудит процессов найма с привлечением внешних экспертов.
  • Создание whistleblower-системы для анонимных сообщений о подозрениях.
  • Политика разделения обязанностей (separation of duties).

Как сказал Виталик Бутерин: «Безопасность начинается не с кода. Она начинается с первого интервью.»

💰 Предпочтительные инструменты и валюты

По данным Зак Чжоу, северокорейские хакеры имеют свои предпочтения в выборе инструментов и активов.

💵 USDC — любимый стейблкоин

Хакеры предпочитают USDC из-за его высокой ликвидности и наличия на всех крупных биржах. Кроме того, Circle, эмитент USDC, пока не блокирует адреса КНДР так же активно, как Tether (USDt), что делает USDC более удобным для отмывания.

🌉 Кросс-чейн мосты

Для перемещения средств используются мосты вроде Wormhole, Stargate и Portal, что позволяет быстро переводить активы между сетями и затруднять отслеживание.

🧃 Миксеры

После вывода средства направляются в миксеры, такие как Tornado Cash, Blinder или Railgun, для сокрытия следов.

📱 Вредоносные приложения

В Замбии Interpol разоблачил сеть, которая через поддельные мобильные приложения похитила $300 миллионов у 65 000 пользователей. Такие схемы также связывают с КНДР.

Как отметил Эллисон Пирсон из Europol: «Когда мошенничество достигает размеров государственного бюджета, оно перестаёт быть преступлением. Это война.»

✅ Реакция индустрии: кто уже принимает меры?

На фоне растущей угрозы крупные игроки начинают реагировать.

👨‍💼 Чанпэн Чжао (CZ)

Бывший CEO Binance предупредил сообщество о тактике поддельных вакансий, используемых хакерами для проникновения в криптокомпании.

🏦 Crypto.com

CEO Kris Marszalek подтвердил, что компания усиливает проверку кандидатов и опровергает любые слухи о компрометации, подчёркивая важность прозрачности.

🔍 Seal Team (расследовательская группа)

Специальная команда обнаружила 60 подозрительных IT-специалистов, связанных с КНДР, и предупредила десятки криптокомпаний.

🏛️ Регуляторы

FBI, Europol и Минфин США усиливают контроль за финансовыми потоками, связанными с КНДР, и добавляют новые адреса в санкционные списки.

Как сказал Андреас Антонопулос: «Будущее Web3 зависит не от скорости транзакций, а от способности противостоять самым изощрённым врагам.»

✅ Выводы: война за будущее финансов

Заявление Зак Чжоу — это не просто наблюдение. Это тревожный сигнал для всей индустрии. Мы больше не живём в мире, где безопасность ограничивается паролями и двухфакторной аутентификацией. Теперь она включает проверку каждого резюме, каждого собеседования и каждого нового сотрудника.

Ключевые выводы:

  • Зак Чжоу заявил, что северокорейские IT-работники причастны к 25+ кибератакам в крипто.
  • Они используют AI-фильтры и чит-инструменты для прохождения собеседований.
  • Цель — получить внутренний доступ к компаниям и украсть активы.
  • Известные случаи: Ronin, Kinto, Lykke, Sf.fund.
  • Предпочтительные активы — USDC, мосты, миксеры.
  • Будущее безопасности — в проактивной проверке и автономных системах.

Как сказал Майкл Сэйлор: «В эпоху цифровых войн, каждый сотрудник — это потенциальный фронт.»

Конфликт за контроль над цифровыми активами вышел за пределы кода и блокчейнов. Он переместился в офисы, на Zoom-собеседования и в профили LinkedIn. И пока мы будем верить, что безопасность — это только задача IT-отдела, наши двери будут открыты для тех, кто приходит с резюме, а не с брутфорсом. Защита Web3 начинается не с аудита смарт-контрактов, а с вопроса: «Кто вы на самом деле?»

25.09.2025, 05:08
Новости