Северокорейские IT-специалисты получат прямые выплаты в размере 16,58 млн долларов в 2025 году: ZachXBT

Специалист по анализу блокчейна ZachXBT перехватил платежи, осуществляемые напрямую северокорейским IT-специалистам. Полученные данные свидетельствуют о том, что всё больше криптопроектов подвергаются потенциальным хакерским атакам со стороны собственных команд или уязвимостям и бэкдорам, внедренным в смарт-trac.

Новое расследование ZachXBT показало, что значительные суммы заработной платы продолжают поступать IT-специалистам, которые оказались агентами КНДР. Проектные команды нанимали иностранных IT-специалистов, часто под прикрытием, используя фейковые профили. В настоящее время выявляется ряд профилей, используемых для проникновения в блокчейн-проекты, проекты Web3 и DeFi . 

Компания ZachXBT обнаружила платежи на сумму 16,58 млн долларов с января 2025 года, что указывает на наличие сотен вакансий в криптопроектах. 

1/ Мое недавнее расследование выявило, что с 1 января 2025 года северокорейским IT-специалистам, нанятым в качестве разработчиков для различных проектов и компаний, было выплачено более 16,58 млн долларов США, или 2,76 млн долларов США в месяц.

Для сравнения, ежемесячные платежи составляют от 3000 до 8000 долларов, что означает… pic.twitter.com/pjHZG9wJ4r

— ZachXBT (@zachxbt) 2 июля 2025 г.

Перехваченные адреса и платежные ведомости указывают на то, что некоторые из IT-специалистов использовали замаскированныеdentи поддельные местоположения. Раскрытие информации о дополнительных электронных кошельках и идентификационныхdentпроизошло после того, как Министерство юстиции США пресекло недавнюю мошенническую схему в сфере IT, направленную против американских компаний.

Риски включают кражу криптовалюты, атаки на токены, истощение ликвидности, а также раскрытие и кражу конфиденциальной информации. 

Расследования ZachXBT также связаны с недавним раскрытием личных данных IT-специалистов КНДР, которые оказались весьма активными мем-токенов или присоединились к существующим командам, занимающимся созданием мем-токенов. Другие расследования касаются попыток выдать себя за инженеров-строителей или даже искать работу дизайнера интерьеров. Фальшивые команды часто используют ИИ в качестве исследовательского инструмента и для маскировки своейdent.

В ходе добровольных расследований были раскрыты личности северокорейских IT-команд

Для некоторых северокорейские хакеры в криптогруппах до сих пор остаются теорией заговора. Большинство недавних открытий связаны с разведывательными исследованиями в открытом доступе (OSINT), а также с реальным tracи раскрытием личных данных. 

ZachXBT также добавляет мониторинг кошельков, часто связывая известных IT-специалистов с известными профилями в социальных сетях на основе их связей с известными кластерами кошельков хакеров из КНДР. ZachXBT предупредил, что северокорейские IT-специалисты также проникают в традиционные технологические компании, но криптопроекты часто позволяют легче tracих, особенно если их зарплата выплачивается в блокчейне. 

На данный момент ZachXBT не объявил названия криптопроектов, наиболее пострадавших от хакерских атак. Ранее даже такие известные протоколы, как Waves, сообщали о взломе смарт-контрактовtrac-за найма непроверенных IT-специалистов. 

Северокорейские IT-специалисты также выдают себя за криптоинфлюенсеров

Ранее в июне следователи также указали на то, что несколько известных криптоинфлюенсеров, связанных со старыми мем-проектами и NFT-проектами, также были связаны с подозрительными кластерами кошельков. Некоторые из адресов, наблюдавшихся у ZachXBT, также были отмечены как связанные с NFT-проектом Favvr.

Хакеры из КНДР часто не задерживаются в проектах надолго, но их участие рискованно даже при кратковременном найме. Хакеры из КНДР могут выполнять множество ролей в проектах, включая доступ к мультиподписным кошелькам или другие ключевые обязанности. Поскольку аудиты криптопроектов проводятся только с интервалом в несколько месяцев или лет, некоторые платформы DeFi , мем-токены и другие приложения могут содержать скрытые риски для уязвимостей.

ZachXBT также отмечает, что хакеров в основном привлекает MEXC, а также американские биржи, включая Robinhood и Coinbase. Binance, одна из широко используемых платформ, сейчас непригодна, поскольку имеет историю замораживания средств и оказания помощи властям в tracподозрительных счетов. Северокорейские IT-специалисты часто прибегают к USDC, хотя и пытаются скрыть транзакции, поскольку стейблкоин может быть заморожен.