Примітка редактора: Північнокорейські хакери завжди були великою загрозою для ринку криптовалют. У минулі роки жертви та фахівці з безпеки могли лише шляхом зворотного аналізу кожного випадку безпеки здогадуватися про моделі поведінки північнокорейських хакерів. Але вчора відомий аналітик блокчейну ZachXBT у своєму останньому твіті процитував певного білої капелюха-хакера, який провів зворотне хакування північнокорейських хакерів, вперше з активної точки зору розкривши «робочі» методи північнокорейських хакерів, що може мати певне позитивне значення для проєктів галузі щодо попередньої безпеки.
Наступне — це повний текст ZachXBT, перекладений Odaily 星球日报.
Невідомий анонімний хакер нещодавно зламав пристрій одного з IT-спеціалістів Північної Кореї, внаслідок чого стало відомо, як команда з п’яти осіб маніпулює більше ніж тридцятьма підробленими особистостями для проведення діяльності. Ця команда не лише володіє урядовими підробленими документами, але й проникає в різні розробницькі проекти через купівлю акаунтів на Upwork/LinkedIn.
!
!
Дослідники отримали дані з його Google Диску, профілю браузера Chrome та скріншоти пристрою. Дані показують, що команда сильно покладається на серію інструментів Google для координації робочого графіку, розподілу завдань та управління бюджетом, усі комунікації ведуться англійською мовою.
!
Звіт за тиждень 2025 року розкрив робочі моделі цієї хакерської групи та труднощі, з якими вони стикалися, наприклад, один із членів скаржився, що «не розуміє вимог до роботи, не знає, що робити», а у відповідному стовпчику рішень було вказано «вкладатися в роботу, подвоювати зусилля»…
!
!
Запис про деталі витрат показує, що їхні витратні статті включають купівлю соціального страхового номера (SSN), угоди з акаунтами Upwork та LinkedIn, оренду телефонних номерів, підписки на AI-сервіси, оренду комп'ютерів та закупівлю VPN / проксі-сервісів тощо.
!
Одна з електронних таблиць детально фіксує графік та сценарій виступу під вигаданим ім'ям «Генрі Чжан» для участі в зустрічі. Процес показує, що ці північнокорейські IT-спеціалісти спочатку купують акаунти на Upwork та LinkedIn, орендують комп'ютерне обладнання, а потім виконують аутсорсингову роботу за допомогою програми віддаленого контролю AnyDesk.
!
!
Один з їхніх гаманців для отримання та відправлення коштів має адресу:
0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c;
!
!
Ця адреса має тісний зв'язок з подією атаки на протокол Favrr на суму 680 тисяч доларів, що сталася в червні 2025 року. Пізніше було підтверджено, що її технічний директор та інші розробники були північнокорейськими ІТ-робітниками з підробленими документами. Через цю адресу також були ідентифіковані інші північнокорейські ІТ-спеціалісти, залучені до проєктів з проникнення.
!
У записах пошуку та історії браузера команди також було виявлено такі ключові докази.
! !
Можливо, хтось запитає: «Як підтвердити, що вони з Північної Кореї?» Окрім усіх наведених вище шахрайських документів, їхня історія пошуку також показує, що вони часто використовують Google Translate і використовують російський IP для перекладу на корейську.
!
!
На даний момент основні виклики для підприємств у запобіганні IT-робітникам з Північної Кореї зосереджені на наступних аспектах:
Відсутність системної співпраці: між платформними постачальниками послуг та приватними підприємствами бракує ефективних механізмів обміну інформацією та співпраці;
Неналежний контроль з боку замовника: команда з підбору персоналу часто проявляє захисну позицію після отримання попередження про ризики, а іноді навіть відмовляється співпрацювати з розслідуванням;
Кількісна перевага: хоча його технологічні засоби не є складними, завдяки великій базі шукачів роботи він продовжує проникати на глобальний ринок праці;
Канали конвертації коштів: такі платіжні платформи, як Payoneer, часто використовуються для обміну доходів у фіатній валюті, отриманих від розробницької роботи, на криптовалюту;
Я вже кілька разів згадував про показники, на які слід звернути увагу; зацікавлені можуть переглянути мої попередні твіти, тому тут я не буду повторюватися.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
ZachXBT: Зворотний Хакерський пристрій Північної Кореї, після чого я зрозумів їхній "робочий" режим
Автор: ZachXBT
Переклад: Azuma, Планетарні новини
Примітка редактора: Північнокорейські хакери завжди були великою загрозою для ринку криптовалют. У минулі роки жертви та фахівці з безпеки могли лише шляхом зворотного аналізу кожного випадку безпеки здогадуватися про моделі поведінки північнокорейських хакерів. Але вчора відомий аналітик блокчейну ZachXBT у своєму останньому твіті процитував певного білої капелюха-хакера, який провів зворотне хакування північнокорейських хакерів, вперше з активної точки зору розкривши «робочі» методи північнокорейських хакерів, що може мати певне позитивне значення для проєктів галузі щодо попередньої безпеки.
Наступне — це повний текст ZachXBT, перекладений Odaily 星球日报.
Невідомий анонімний хакер нещодавно зламав пристрій одного з IT-спеціалістів Північної Кореї, внаслідок чого стало відомо, як команда з п’яти осіб маніпулює більше ніж тридцятьма підробленими особистостями для проведення діяльності. Ця команда не лише володіє урядовими підробленими документами, але й проникає в різні розробницькі проекти через купівлю акаунтів на Upwork/LinkedIn.
!
!
Дослідники отримали дані з його Google Диску, профілю браузера Chrome та скріншоти пристрою. Дані показують, що команда сильно покладається на серію інструментів Google для координації робочого графіку, розподілу завдань та управління бюджетом, усі комунікації ведуться англійською мовою.
!
Звіт за тиждень 2025 року розкрив робочі моделі цієї хакерської групи та труднощі, з якими вони стикалися, наприклад, один із членів скаржився, що «не розуміє вимог до роботи, не знає, що робити», а у відповідному стовпчику рішень було вказано «вкладатися в роботу, подвоювати зусилля»…
!
!
Запис про деталі витрат показує, що їхні витратні статті включають купівлю соціального страхового номера (SSN), угоди з акаунтами Upwork та LinkedIn, оренду телефонних номерів, підписки на AI-сервіси, оренду комп'ютерів та закупівлю VPN / проксі-сервісів тощо.
!
Одна з електронних таблиць детально фіксує графік та сценарій виступу під вигаданим ім'ям «Генрі Чжан» для участі в зустрічі. Процес показує, що ці північнокорейські IT-спеціалісти спочатку купують акаунти на Upwork та LinkedIn, орендують комп'ютерне обладнання, а потім виконують аутсорсингову роботу за допомогою програми віддаленого контролю AnyDesk.
!
!
Один з їхніх гаманців для отримання та відправлення коштів має адресу:
0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c;
!
!
Ця адреса має тісний зв'язок з подією атаки на протокол Favrr на суму 680 тисяч доларів, що сталася в червні 2025 року. Пізніше було підтверджено, що її технічний директор та інші розробники були північнокорейськими ІТ-робітниками з підробленими документами. Через цю адресу також були ідентифіковані інші північнокорейські ІТ-спеціалісти, залучені до проєктів з проникнення.
!
У записах пошуку та історії браузера команди також було виявлено такі ключові докази.
! !
Можливо, хтось запитає: «Як підтвердити, що вони з Північної Кореї?» Окрім усіх наведених вище шахрайських документів, їхня історія пошуку також показує, що вони часто використовують Google Translate і використовують російський IP для перекладу на корейську.
!
!
На даний момент основні виклики для підприємств у запобіганні IT-робітникам з Північної Кореї зосереджені на наступних аспектах:
Я вже кілька разів згадував про показники, на які слід звернути увагу; зацікавлені можуть переглянути мої попередні твіти, тому тут я не буду повторюватися.