Северокорейские ИТ-специалисты проникают в технологические и криптопроекты, присваивая более 16 миллионов долларов
- В 2025 году северокорейским ИТ-специалистам было выделено более 16,58 млн долларов США
- Эти работники выдают себя за фрилансеров, чтобы получить работу в сотнях крипто- и технологических стартапов.
- Они обходят проверки безопасности и направляют криптовалютные платежи на санкционированные адреса, связанные с КНДР.
Растущая проблема национальной безопасности тихо разворачивается в глобальной технологической и криптоиндустрии. Согласно данным от ончейн-сыщика ZachXBT, более 16,58 млн долларов США было направлено северокорейским ИТ-работникам только с начала 2025 года, что составляет примерно 2,76 млн долларов США в месяц.
Эти разработчики выдают себя за законных фрилансеров, но тайно связаны с режимом КНДР. Используя простые тактики и социальную инженерию, они взломали технические команды, обеспечили себе конфиденциальные роли и перенаправили криптовалютные платежи на адреса, связанные с санкционированными субъектами.
1/ My recent investigation uncovered more than $16.58M in payments since January 1, 2025 or $2.76M per month has been sent to North Korean IT workers hired as developers at various projects & companies.
To put this in perspective payments range from $3K-8K per month meaning… pic.twitter.com/pjHZG9wJ4r
— ZachXBT (@zachxbt) July 2, 2025
Каковы тревожные сигналы и модели риска?
Эти ИТ-работники обычно зарабатывают от $3000 до $8000 в месяц, что говорит о том, что только в этом году было скомпрометировано от 345 до 920 рабочих мест. Хотя это число ошеломляет, закономерности, лежащие в основе их занятости, свидетельствуют о тревожном отсутствии осмотрительности в процессах найма и проверки во многих компаниях.
Большинство команд не замечают вопиющих признаков, таких как работники, которые отказываются встречаться с местными членами команды, несмотря на то, что утверждают, что живут поблизости, или те, кто использует российские IP-адреса, утверждая, что находятся в США. В некоторых случаях эти работники даже рекомендуют друг другу новые должности, создавая внутренние кластеры скомпрометированного персонала.
Как они обходят проверки безопасности?
Многие из этих ИТ-работников демонстрируют явные признаки обмана. Они часто меняют свои имена пользователей GitHub, удаляют свои профили LinkedIn после получения работы и часто не проходят базовые проверки Know Your Customer (KYC). Несмотря на эти красные флажки, криптокомпании продолжают неосознанно обрабатывать платежи им, иногда напрямую с регулируемых платформ, таких как Circle.
7/ A few key trends I have observed:
A common misconception is that US exchanges have more rigorous KYC/AML requirements than offshore competitors.
DPRK ITWs have an increasing number of accounts tied to US exchanges like Coinbase or Robinhood
MEXC remains a popular choice…
— ZachXBT (@zachxbt) July 2, 2025
Круг и проблемы соответствия
В одном случае платежи USDC были отслежены до адреса, который находился всего в одном шаге от занесенного в черный список Tether счета, связанного с известным оперативником КНДР. Еще более тревожным является наличие счетов на биржах в США, принадлежащих этим работникам.
По теме: Криптовалютная схема Северной Кореи: маскировка IT-работника финансирует военных
Несмотря на предположение, что платформы вроде Coinbase и Robinhood применяют более строгие правила KYC, многие смогли воспользоваться этими услугами без обнаружения. Другие по-прежнему предпочитают биржи вроде MEXC для отмывания средств в блокчейне, отойдя от Binance из-за улучшенного надзора.
Почему стартапы подвергаются такому высокому риску?
Хотя криптопроекты часто выделяются, традиционные технологические компании сталкиваются с такой же подверженностью этой угрозе. Эти работники часто жонглируют несколькими удаленными ролями, плохо работают и часто увольняются, но ущерб может быть нанесен задолго до того, как их уволят.
Связанный: Сенатор США назвал криптовалюту угрозой и связал ее с ядерным финансированием Северной Кореи
Как только они внедряются в проект, особенно в роль разработчика смарт-контрактов, они представляют реальную угрозу целостности и финансовой безопасности проекта. В конечном счете, многие команды отдают приоритет сокращению расходов, а не безопасности, нанимая более дешевые международные таланты без проведения достаточных проверок биографических данных. Это создало среду, которая созрела для эксплуатации.
Источник:
