“Компрометований пристрій з північнокорейського ІТ -працівника викрив внутрішню роботу команди, що стоїть за $ 680 000 Favrr Hack та їх використання Google Tools для націлювання на криптовалюти. Короткий зміст Порушений пристрій, що належить північнокорейському ІТ -працівнику, викрив внутрішню роботу суб’єктів загрози. Докази показують, що оперативники використовували Google”, – Напишіть: www.crypto.news
Компрометований пристрій з північнокорейського ІТ -працівника викрив внутрішню роботу команди, що стоїть за $ 680 000 Favrr Hack та їх використання Google Tools для націлювання на криптовалюти.
Резюме
- Компрометований пристрій, що належить північнокорейському ІТ -працівнику, викрив внутрішню роботу суб’єктів загрози.
- Докази показують, що оперативники використовували інструменти, що працюють на Google, AnyDesk та VPN, щоб проникнути в криптовалюти.
За словами в ланцюзі Sleuth Zachxbt, слід розпочався з неназваного джерела, який отримав доступ до одного з комп’ютерів робітників, розкриття скріншотів, експорту Google Drive та хромованих профілів, які відтягнули завісу на те, як оперативники планували та здійснювали свої схеми.
Спираючись на активність гаманця та відповідність цифрових відбитків пальців, Zachxbt перевірив вихідний матеріал і пов’язував угоди про криптовалюту групи до експлуатації ринку FAVRR в червні 2025 року. Одна адреса гаманця “0x78E1a” показала прямі посилання на викрадені кошти з інциденту.
Всередині операції
Компрометований пристрій показав, що невелика команда – шість членів – поділила щонайменше 31 фальшиву ідентичність. Для роботи з розвитку блокчейн вони накопичили посвідчення особи та номери телефонів, навіть купівля LinkedIn та Upwork рахунків для завершення їх обкладинки.
Сценарій інтерв’ю, знайдений на пристрої, показав їм досвід роботи у відомих фірмах блокчейн, включаючи багатокутні лабораторії, OpenSea та Chainlink.
Інструменти Google були центральними для їх організованого робочого процесу. Було виявлено, що суб’єкти загрози використовують електронні таблиці для відстеження бюджетів та графіків, а Google перекладає мовний розрив між корейською та англійською мовою.
Серед інформації, витягнутої з пристрою, була електронна таблиця, яка показала, що ІТ -працівники орендують комп’ютери та платять за доступ VPN для придбання нових рахунків для своїх операцій.
Команда також покладалася на інструменти віддаленого доступу, такі як Anydesk, що дозволяє їм контролювати клієнтські системи, не розкриваючи їх справжні місця. Журнали VPN пов’язували свою діяльність з декількома регіонами, маскуючи північнокорейські IP -адреси.
Додаткові висновки показали групу, яка шукає способи розгортання жетонів у різних блокчейнах, розвідки фірм AI в Європі та відображення свіжих цілей у криптовалюті.
Північнокорейські суб’єкти загрози використовують віддалені робочі місця
Zachxbt знайшов однакову схему, позначену у кількох звітах про кібербезпеку – північнокорейських ІТ -працівників, які висаджують законні віддалені робочі місця, щоб проскочити в криптовалютний сектор. Позуючи як позаштатні розробники, вони отримують доступ до сховищ коду, бекендних систем та інфраструктури гаманця.
Один документ, розкритий на пристрої, були замітками для інтерв’ю, а підготовчі матеріали, ймовірно, мали бути на екрані або поблизу під час дзвінків з потенційними роботодавцями.