Хакери з Північної Кореї викрали понад $1,6 млрд у криптовалютах за півроку, йдеться у звіті Google Cloud. Атаки були спрямовані переважно на криптобіржі та компанії, що працюють із хмарними сервісами.
Основним інструментом атак стали фальшиві пропозиції роботи, які зловмисники надсилали працівникам криптокомпаній. Під виглядом “тестових завдань” жертвам надходили скрипти зі шкідливим кодом. Після їх виконання хакери отримували доступ до хмарних середовищ, зокрема Google Cloud і AWS, де викрадали облікові дані, криптовалюту та іншу конфіденційну інформацію.
За інформацією Google Threat Intelligence Group, за атаками стоїть угруповання UNC4899, також відоме під назвами TraderTraitor, Jade Sleet і Slow Pisces. Угруповання пов’язане з іншими відомими кіберформуваннями Північної Кореї: Lazarus Group, APT38, BlueNoroff і Stardust Chollima.
“Вони маскуються під рекрутерів, журналістів або професорів і використовують штучний інтелект, щоб зробити спілкування переконливішим. Спершу будують довіру, потім атакують”, — пояснив головний радник із розвідки загроз у Google Джеймі Коллієр.
Мільярдні втрати криптокомпаній
Згідно з аналітикою компанії Wiz, у 2025 році хакери, пов’язані з TraderTraitor, вчинили щонайменше дві масштабні атаки на криптобіржі. Найбільша злом Bybit у лютому, під час якого було викрадено $1,5 млрд. Інша — атака на японську біржу DMM Bitcoin із втратою $303 млн.
TraderTraitor застосовує хмарноорієнтовану стратегію з 2020 року, яка еволюціонувала у кілька етапів:
- 2020–2022: використання шкідливих криптозастосунків на JavaScript (Electron);
- 2023: впровадження шкідливого open-source коду;
- 2024–2025: масштабні фішингові кампанії через фейкові IT-вакансії.
“TraderTraitor фокусується на хмарних середовищах, бо саме там зберігаються дані і, відповідно, гроші. Це ключова зона ризику для криптокомпаній, що працюють за принципом cloud-first”, — зазначив директор з розвідки загроз у Wiz Бенджамін Рід.
Згідно з даними Wiz, у діяльності TraderTraitor можуть бути залучені тисячі хакерів, які діють у паралельних або взаємопов’язаних групах. Їхні атаки стають дедалі витонченішими та масштабнішими, а збитки криптоіндустрії зростають.
Фахівці попереджають компанії про необхідність посилення внутрішніх політик безпеки, обережного ставлення до фейкових рекрутерів і перевірки будь-яких підозрілих листів. У ситуації, коли хакери вже використовують ШІ для персоналізованих атак, традиційних засобів захисту стає дедалі менше.
Раніше видання Crypto News повідомяло, що хакери з Північної Кореї, маскуючись під віддалених IT-фахівців, активніше націлюються на європейські компанії. Їхні дії включають шпигунство, крадіжку даних і порушення роботи систем.
