By
2025 г. Фаврр ограбление
В изгиб, достойный кибер -триллера, группа, представляющая застройщики блокчейна, сняла ограбление в размере 680 000 долларов на рынке токенов фанатов Favrr в июне 2025 года, только чтобы быть разоблаченным, когда одно из их собственных устройств была встречена.
То, что появилось, было поразительным: шесть Северокорейские оперативники имел как минимум 31 поддельная личность. Они несли поддельные правительственные идентификаторы, телефонные номера и сфабрикованные профили LinkedIn и Upwork. Некоторые даже позируют как талант из Polygon Labs, Opensea и Cheaplink, чтобы проникнуть в крипто -индустрия.
Цифровые панировочные сухари (экранисты, экспорт Google Drive, профили Chrome) показали, насколько тщательно они организовали инфильтрацию.
Крипто -следователь Zachxbt проследил их активность Onchain, соединяя один адрес кошелька с эксплойтом Favrr и подтверждая, что это не просто фишинговая схема Но скоординированная инфильтрация разработчика и уровня.
Вы знали? Хакеры, связанные с Северной Кореей, в 2024 году украли около 1,34 млрд долларов в криптографии, что составило 60% глобальных краж. Атаки охватывали 47 инцидентов, вдвое больше по сравнению с предыдущим годом.
Как был обнаружен взлом
Нарушение Favrr выявилось через поворот кибер-судьбы-один из предполагаемых северокорейских операторов был противостоят.
Безымянный источник получил доступ к одному из своих устройств, открыв часть внутренних артефактов: скриншоты, экспорт Google Drive и профили Chrome, которые наметили, как хакеры координировали свою схему
Эти файлы нарисовали поразительную картинку: шесть работников работают не менее 31 фальшивых личностейПолем
Их операционная пьеса была подробно рассказана: от электронных таблиц, которые отслеживали расходы и сроки до Google Translate, облегчающие их обман английского языка, вплоть до арендованных компьютеров, VPN и AnyDesk для скрытного доступа.
Crypto Sleuth Zachxbt затем проследил украденные фонды Onchain, раскрытие адреса кошелька «Тщательно связанный» с эксплойтом Favrr за 680 000 долларов в июне 2025 года.
Вместе эти откровения подтверждают, что это была глубоко скоординированная проникновение квалифицированных субъектов, представляющих в качестве законных разработчиков, все выставленные устройством, оставленным уязвимым.
Схема фальшивого разработчика
Контр-хак показал арсенал сфабрикованных персонажей, которые вышли далеко за пределы простых имен пользователей.
Они приобрели правительственные идентификаторы, телефонные номера и даже приобрели учетные записи LinkedIn и Upwork, что позволило им убедительно представить себя как Опытные разработчики блокчейнаПолем
Некоторые даже выдавали себя за персонала из громких организаций, опросили в качестве инженеров с полным стеком для Polygon Labs и хвастались опытом работы с Opensea и Chainlink.
Группа поддерживала предварительно написанные сценарии интервью, полируя сценарии, адаптированные к каждой поддельной идентичности.
В конечном счете, эта многослойная иллюзия позволила им получить роли разработчиков и получить доступ к чувствительным к системам и кошелькам, действуя изнутри, скрываясь за искусно изготовленные аватарыПолем
Это была глубокая инфильтрация на основе идентичности.
Инструменты и тактика, которые они использовали
Изобретательность взлома северокорейского здесь лежала в тщательно организованном обмане, используя повседневные инструменты.
Координация между шестью оперативниками была обработана с помощью экспорта Google Drive, профилей Chrome и общих электронных таблиц, которые нанесли на карту задачи, планирование и бюджеты – все это тщательно вошли по -английски и сглаживались с помощью Google Translate между корейским и английским языком.
Чтобы выполнить их проникновение с точностью, команда полагалась на Любой дистанционный доступ и VPN, маскируя их истинные места, в то же время появляясь в качестве законных разработчиков для ничего не подозревающих работодателей. В некоторых случаях они даже арендовали компьютеры, чтобы еще больше запутать свое происхождение.
Утечка финансовых документов показала, что их операции были в значительной степени зарегистрированы. В мае 2025 года группа потратила 1 489,80 долл. США на эксплуатационные расходы, включая VPN подпискиарендованная аппаратная и инфраструктура, необходимая для поддержания нескольких личностей.
За видом профессионального сотрудничества лежала тщательно разработанная иллюзия, корпоративная система управления проектами, поддерживающая глубокие вторжения, поддерживаемая реальными эксплуатационными расходами и технологическим покрытием.
Вы знали? Самая передовая кибер-подразделение Северной Кореи, Bureau 121, укомплектован некоторыми из ведущих технических талантов режима, многие из которых были отобраны из элитных университетов после интенсивного многолетнего обучения.
Удаленная проникновение работы
Северокорейская группа, стоящая за ограблением Favrr, использовала, казалось бы, законные заявки на работу (вместо спама или фишинга, на удивление).
Работая через Upwork, LinkedIn и другие внештатные платформы, они обеспечили роли разработчиков блокчейна. С полированными персонажами, в комплекте с индивидуальными резюме и готовыми к интервью сценариям, они получили доступ к клиентским системам и кошелькам под видом удаленной занятости. Инфильтрация была настолько подлинной, что некоторые интервьюеры, вероятно, никогда не подозревали, что что -то было не так.
Эта тактика является репрезентативной для чего -то большего. Расследования показывают более широкую, устоявшуюся схему: северокорейские ИТ-оперативники обычно проникают в организации, обеспечивая удаленные должности. Эти инфильтраторы проходят фон и ссылку Проверки с использованием инструментов DeepFake и A-Accedhanced возобновляется, предоставляя услуги, прокладывая путь к вредоносной деятельности.
По сути, кибер-эпионаж Угроза не ограничивается вредоносным ПОПолем Это событие показывает, что оно также встроено в доверенный доступ через удаленную рабочую инфраструктуру.
Вы знали? К 2024 году в Северной Корее было встроено около 8400 кибер -оперативников по всему миру, представляя себя отдаленными работниками для проникновения компаний и получения незаконных доходов, особенно направляя средства на программы вооружения режима.
Более широкий контекст и поддержка штата
В феврале 2025 года Lazarus Group Северной Кореи (работающая под псевдонимом TraderTor) выполнила крупнейшее ограбление криптовалюты на сегодняшний день, крадя примерно 1,5 миллиарда долларов в эфире от биржи Bybit во время обычной передачи кошелька.
Федеральное бюро расследований США подтвердил взлом и предупредил крипто -индустрию блокировать подозрительные адреса, отметив эту атаку в рамках более широкой стратегии киберпреступности Северной Кореи финансировать его режимвключая ядерные и ракетные программы.
Помимо массовых прямых краж, Северная Корея также использовала более скрытые средства. Исследователи кибербезопасности, в том числе Silent Push, обнаружили, что аффилированные лица Lazarus создают американские компании Shell Companies, Blocknovas и Softglide, чтобы распространять вредоносные программы на ничего не подозревающих разработчиков крипто, посредством предложений по фальшивой работе.
Эти кампании заражали цели, такими как штаммы, такие как Beavertail, Invisibleferret и Ottercookie, предоставляя удаленный доступ и обеспечивая кражу полномочий.
Эти методы показывают двойную угрозу: наглое атаки на уровне обмена и скрытная инсайдерская инфильтрация. Общая цель остается последовательной: генерировать незаконные доходы под радаром санкций.
Стоит помнить, что такие операции по киберпреступности являются центральными для финансирования программ вооружений Северной Кореи и поддержания жизненной линии режима в иностранной валюте.
