rbc.ru
Северокорейские хакеры, связанные с группой Lazarus, регистрировали фиктивные компании в США, чтобы распространять вредоносное ПО среди разработчиков криптовалютных проектов. Об этом пишет The Block со ссылкой на отчет исследовательской компании Silent Push.
По данным отчета, злоумышленники создали как минимум две компании с официальной американской регистрацией и использовали их как прикрытие. Они рассылали разработчикам от имени этих компаний предложения о работе и имитировали собеседования.
Фейковые профили сотрудников компаний генерировались с помощью ИИ, для них создавали блоги и страницы в соцсетях. Сейчас на каждом из использованных доменов компаний висит официальная заглушка о закрытии от ФБР США с предупреждением о действиях хакеров из КНДР.
Кампания приписывается подразделению Contagious Interview, входящему в состав хакерской группировки Lazarus. Целью было получение доступа к криптокошелькам и учетным данным разработчиков с последующей атакой на инфраструктуру компаний.
Именно тактика с поддельным предложением работы привела к взлому моста Ronin в 2022 году, когда из игры Axie Infinity было выведено $625 млн в ETH и USDC. По данным ООН и Chainalysis, группы, связанные с КНДР, за пять лет похитили более $3 млрд в криптовалютах.
Lazarus также обвиняют в недавнем взломе криптобиржи Bybit, который стал крупнейшим за всю историю крипторынка. С платформы вывели криптовалют на $1,4 млрд. После инцидента Bybit объявила «войну» северокорейским хакерам, предложив участникам отрасли помочь ей в восстановлении средств за вознаграждение.