ZachXBT утверждает, что северокорейские разработчики выкачали $16,5M через поддельные рабочие места, скомпрометировано до 920 ролей

Специалист по расследованию цепочек ZachXBT обнаружил обширное проникновение Северной Кореи в криптовалютные и технологические компании через фиктивные схемы трудоустройства.

В ходе расследования было отслежено 16,58 миллионов долларов США, выплаченных ИТ-работникам из КНДР, и выявлено множество операционных кластеров в различных проектах.

ZachXBT раскрывает информацию о выплатах северокорейским разработчикам в размере $16,58 млн.

Расследование ZachXBT обнаружило $16,58 млн. выплат северокорейским ИТ-работникам с 1 января 2025 г., в среднем $2,76 млн. в месяц через криптовалютные транзакции.

Суммы выплат варьируются от $3 000 до $8 000 в месяц на одного работника, что свидетельствует о проникновении от 345 рабочих мест на низком уровне до 920 рабочих мест на высоком уровне.

Подробности о северокорейских рабочих от ZachXBT

Ищейка на цепи следит за шестью различными кластерами ИТ-работников из КНДР. Только в один кластер входят 8 различных северокорейских разработчиков, которые получили роли в более чем 12 проектах.

Платежные адреса из этого кластера восходят к двум адресам консолидации, используемым для сбора и распределения средств.

Сэнди Нгуен, идентифицированный как ИТ-работник из КНДР из этого кластера, был замечен через разведку из открытых источников рядом с флагом Северной Кореи на мероприятии в России.

ZachXBT отметил, что традиционные технологические компании сталкиваются с не менее серьезными проблемами проникновения. Но криптовалютные платежи создают возможность отслеживания на цепочке, что позволяет отследить потоки средств до компаний-нанимателей.

Расследование выявило систематическую эксплуатацию возможностей удаленной работы в различных отраслях.

Ежемесячные объемы платежей свидетельствуют о постоянных операциях, а не об отдельных инцидентах. Это говорит об организованной координации действий северокорейских ИТ-специалистов, нацеленных на западные технологические компании.

Оперативные индикаторы раскрывают методы систематического проникновения

ZachXBT выявил множество “красных флажков”, которые команды обнаружили после найма северокорейских ИТ-работников. Это позволило выявить последовательные схемы работы во всех проникших проектах.

Работники отказывались от личных встреч с членами команды, несмотря на то, что жили в одном городе.

Три ИТ-работника из одного кластера направили друг друга на работу в один и тот же проект. Это указывает на скоординированные усилия по проникновению, а не на независимые заявления о приеме на работу.

Сотрудники, якобы находящиеся в Калифорнии, использовали российские IP-адреса во время рабочих сессий, что отличалось от их предполагаемого местонахождения и нарушало безопасность.

К другим подозрительным действиям относятся изменения в хэндлах GitHub, удаление учетных записей LinkedIn и неудачная периодическая проверка KYC многих сотрудников.

Потоки платежей нескольким сотрудникам ИТ-отдела направлялись на один криптовалютный адрес. Это указывает на скоординированную финансовую деятельность за якобы независимыми подрядчиками.

Детали северокорейского дэва, опознанного в России

Платежи USDC переводились напрямую со счетов Circle на три адреса в наблюдаемом кластере. Средства перемещались только в один прыжок с адреса, занесенного в черный список Tether в апреле 2023 года и принадлежащего Хёну Соп Симу.

Другие кластеры ИТ-работников из КНДР в настоящее время имеют значительные остатки на счетах USDC по нескольким адресам.

Работники обычно выполняют несколько функций одновременно и, как правило, увольняются за плохую работу, что приводит к высокой текучести кадров.

Как только они узнают, как проникнуть в команды и претендовать на право владения контрактами, проекты становятся уязвимыми для атак безопасности и потенциальных эксплойтов против протокольной инфраструктуры.

Угроза перекинулась на криптовалюты, ограбив их на 2,1 миллиарда долларов

ZachXBT также заметил, что у северокорейских ИТ-работников сейчас все больше и больше американских биржевых счетов, таких как Coinbase и Robinhood, опровергая предположение о том, что на внутренних биржах более строгие условия KYC/AML, чем на внешних.

MEXC по-прежнему активно используется ИТ-персоналом для отмывания денег в цепочке криптовалютных сделок.

Использование Binance ИТ-персоналом резко сократилось по сравнению с предыдущими годами благодаря улучшению схем обнаружения и сотрудничеству между частными учреждениями и государственными органами, приводящему к конфискации активов.

Появление необанков и финтех-платформ, поддерживающих интеграцию со стейблкоинами, упростило для ИТ-персонала КНДР конвертацию фиатных денег в криптовалюту.

ZachXBT также утверждает, что в криптовалютных проектах работает не самое большое количество северокорейского ИТ-персонала, а более традиционные технологические компании имеют не менее или даже более серьезные проблемы с проникновением.

Криптовалютные платежи отслеживаются на цепочке, что позволяет следователям отследить возврат денег в рекрутинговые фирмы, но фиатные платежи в обычных фирмах не имеют такой видимости.

Связанные с Северной Кореей хакерские группы, такие как Lazarus Group, украли около $2,1 миллиарда в криптовалюте в первой половине 2025 года.

Самым крупным случаем стало ограбление криптовалютной биржи Bybit в феврале 2025 года на сумму $1,5 млрд. Из общего числа криптокраж $1,6 млрд. было совершено злоумышленниками, связанными с Северной Кореей.

Автор считает, что группы, в которых работает много ИТ-персонала из КНДР, всегда указывают на провал стартапа из-за отсутствия изощренности угроз и недостаточного внимания к подбору персонала.