Недавно анонимный хакер в белой шляпе успешно взломал устройство работника IT из Северной Кореи, раскрыв内幕 о том, как команда из пяти человек использует более 30 поддельных идентификаций для своей деятельности. Эта команда не только обладает поддельными удостоверениями личности, выданными правительством, но и проникает в различные проекты разработки, покупая аккаунты на онлайн-платформах.
!
Следователи получили данные о облачном диске команды, файлы конфигурации браузера и скриншоты устройств. Данные показывают, что эта команда в значительной степени полагается на серию инструментов одной поисковой компании для координации рабочего графика, распределения задач и управления бюджетом, все коммуникации проводятся на английском языке.
!
Один отчет за неделю 2025 года раскрывает рабочие методы этой группы хакеров и проблемы, с которыми они сталкиваются. Например, один из участников сообщил: "не могу понять требования к работе, не знаю, что делать", а соответствующее решение оказалось "вложиться в работу, удвоить усилия".
!
Записи о расходах показывают, что их статьи расходов включают покупку номера социального страхования (SSN), учетной записи на торговой онлайн платформе, аренду телефонного номера, подписку на услуги ИИ, аренду компьютера, а также закупку VPN и прокси-сервисов.
!
Одна из электронных таблиц подробно фиксирует график и сценарий разговора для участия в конференции под ложной идентификацией "Henry Zhang". Процесс операции показывает, что эти северокорейские IT-работники сначала покупают аккаунты на онлайн платформе, арендуют компьютерное оборудование, а затем выполняют аутсорсинговую работу с помощью инструментов удаленного управления.
!
Один из кошельков, который они использовали для получения и отправки средств, имеет тесную связь с инцидентом атак на протокол, произошедшим в июне 2025 года. Впоследствии было подтверждено, что CTO данного протокола и другие разработчики были северокорейскими IT-работниками с поддельными документами. Также через этот адрес были идентифицированы другие северокорейские IT-специалисты, причастные к проектам вторжения.
!
В записях поиска и истории браузера команды также были найдены некоторые ключевые доказательства. Кроме вышеупомянутых мошеннических документов, их история поиска также показывает частое использование онлайн-инструментов перевода и перевод контента на корейский язык с использованием российского IP.
!
На данный момент основные вызовы, с которыми сталкиваются компании в предотвращении деятельности IT-работников из Северной Кореи, включают:
Недостаток системного сотрудничества: между поставщиками услуг платформы и частными предприятиями отсутствует эффективный механизм обмена информацией и сотрудничества;
Неправильное поведение нанимателя: команда по найму часто проявляет защитную позицию после получения предупреждения о риске и даже отказывается сотрудничать с расследованием;
Преимущества в количестве: хотя его технические средства не сложны, благодаря огромной базе соискателей он продолжает проникать на глобальный рынок труда;
Каналы преобразования средств: некоторые платежные платформы часто используются для обмена доходов от разработческой работы в фиатной валюте на криптовалюту.
Эти открытия имеют определенное положительное значение для предварительной безопасности проектов в отрасли, предоставляя нам возможность понять методы "работы" северокорейских Хакеров с активной точки зрения.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Раскрытие северокорейской команды IT-хакеров: более 30 поддельных идентификаций проникают в глобальные проекты разработки
Недавно анонимный хакер в белой шляпе успешно взломал устройство работника IT из Северной Кореи, раскрыв内幕 о том, как команда из пяти человек использует более 30 поддельных идентификаций для своей деятельности. Эта команда не только обладает поддельными удостоверениями личности, выданными правительством, но и проникает в различные проекты разработки, покупая аккаунты на онлайн-платформах.
!
Следователи получили данные о облачном диске команды, файлы конфигурации браузера и скриншоты устройств. Данные показывают, что эта команда в значительной степени полагается на серию инструментов одной поисковой компании для координации рабочего графика, распределения задач и управления бюджетом, все коммуникации проводятся на английском языке.
!
Один отчет за неделю 2025 года раскрывает рабочие методы этой группы хакеров и проблемы, с которыми они сталкиваются. Например, один из участников сообщил: "не могу понять требования к работе, не знаю, что делать", а соответствующее решение оказалось "вложиться в работу, удвоить усилия".
!
Записи о расходах показывают, что их статьи расходов включают покупку номера социального страхования (SSN), учетной записи на торговой онлайн платформе, аренду телефонного номера, подписку на услуги ИИ, аренду компьютера, а также закупку VPN и прокси-сервисов.
!
Одна из электронных таблиц подробно фиксирует график и сценарий разговора для участия в конференции под ложной идентификацией "Henry Zhang". Процесс операции показывает, что эти северокорейские IT-работники сначала покупают аккаунты на онлайн платформе, арендуют компьютерное оборудование, а затем выполняют аутсорсинговую работу с помощью инструментов удаленного управления.
!
Один из кошельков, который они использовали для получения и отправки средств, имеет тесную связь с инцидентом атак на протокол, произошедшим в июне 2025 года. Впоследствии было подтверждено, что CTO данного протокола и другие разработчики были северокорейскими IT-работниками с поддельными документами. Также через этот адрес были идентифицированы другие северокорейские IT-специалисты, причастные к проектам вторжения.
!
В записях поиска и истории браузера команды также были найдены некоторые ключевые доказательства. Кроме вышеупомянутых мошеннических документов, их история поиска также показывает частое использование онлайн-инструментов перевода и перевод контента на корейский язык с использованием российского IP.
!
На данный момент основные вызовы, с которыми сталкиваются компании в предотвращении деятельности IT-работников из Северной Кореи, включают:
Эти открытия имеют определенное положительное значение для предварительной безопасности проектов в отрасли, предоставляя нам возможность понять методы "работы" северокорейских Хакеров с активной точки зрения.
!
!
!
!
!
!
!
!