Исследователь блокчейна ZachXBT говорит, что он обнаружил доказательства существования сложной сети северокорейских разработчиков, которые зарабатывают до 500 000 долларов в месяц, работая над «устоявшимися» криптовалютными проектами».
В сообщении на X от 15 августа ZachXBT сообщил своим 618 000 подписчикам, что, по его мнению, «единая организация в Азии», вероятно, действующая из Северной Кореи, получает от 300 000 до 500 000 долларов в месяц, нанимая как минимум 21 работника в более чем 25 криптовалютных проектах.
«Недавно команда обратилась ко мне за помощью после того, как из казны было украдено 1,3 миллиона долларов после распространения вредоносного кода», — сказал ZachXBT.
«Без ведома команды они наняли нескольких ИТ-специалистов КНДР в качестве разработчиков, которые использовали поддельные личности».
ZachXBT утверждает, что последние 1,3 миллиона долларов, украденные работниками КНДР, были отмыты посредством серии транзакций, включая перевод на адрес кражи и заканчивающиеся отправкой 16,5 эфира (ETH) на две разные биржи.
После дальнейшего расследования деятельности этих разработчиков ZachXBT считает, что они являются частью гораздо более обширной сети.
Отслеживая несколько платежных адресов, он обнаружил группу разработчиков, получивших «375 000 долларов за последний месяц» и предыдущие транзакции на общую сумму 5,5 миллионов долларов, которые поступили на обменный депозитный адрес с июля 2023 года до некоторого времени в 2024 году.
Связанный: ZachXBT помечает связанные с Lazarus адреса стоимостью 61 миллион долларов
Эти платежи затем были связаны с ИТ-специалистами в Северной Корее, а также с человеком Сим Хён Сопом, который был подвергнут санкциям Управления по контролю за иностранными активами (OFAC) за якобы координацию финансовых переводов, которые в конечном итоге привели к поддержке программ вооружений Северной Кореи.
ZachXBT сообщает, что его расследование выявило, что другие платежные адреса были тесно связаны с другим лицом, находящимся под санкциями OFAC, Сан Ман Кимом, который в прошлом был связан с киберпреступностью, связанной с КНДР.
Правоохранительные органы США полагают, что Ким «причастен к выплате зарплат членам семей Чиньонга из зарубежных рабочих делегаций КНДР» и получению 2 миллионов долларов в криптовалюте за продажу ИТ-оборудования связанным с КНДР командам в Китае и России.
ZachXBT также обнаружил случаи совпадения IP-адресов «Ростелекома» среди разработчиков, которые утверждали, что базируются в США и Малайзии. По крайней мере, один из рабочих «случайно слил в блокнот свои другие данные».
Некоторых из найденных им разработчиков даже нанимали рекрутинговые компании, а в некоторых случаях они рекомендовали друг другу работу.
«Ряд опытных команд наняли этих разработчиков, поэтому несправедливо по отношению к ним быть виноватыми», — сказал ZachXBT.
«Вскоре после публикации другого проекта выяснилось, что они наняли одного из ИТ-специалистов КНДР (Наоки Мурано), указанного в моей таблице, и поделились моим сообщением в своем чате. Сразу же, через две минуты, Наоки покинул чат и удалил данные с GitHub».
Считается, что организации, связанные с Корейской Народно-Демократической Республикой (КНДР), за последние годы стояли за множеством кибератак и других мошенничеств. Его методы киберпреступности обычно включают в себя фишинг, использование недостатков программного обеспечения, кибер-вторжения, эксплойты с закрытыми ключами и проникновение в личные сообщения. Понятно, что некоторые также работают на этих работах, чтобы получать зарплату, которая затем отправляется обратно в страну.
В 2022 году министерства юстиции, государственного министерства и министерства финансов США выпустили совместное консультативное предупреждение о притоке северокорейских рабочих на различные внештатные рабочие места в сфере технологий, особенно в области криптовалют.
Вероятно, самая печально известная группа, связанная с королевством отшельников, Lazarus Group, по сообщениям, украла криптовалютные активы на сумму более 3 миллиардов долларов за шесть лет, предшествовавших 2023 году.