Вы можете столкнуться с клиентами с высоким уровнем дохода, которые, возможно, являются "наемниками" северокорейских хакеров

Автор оригинала: Никки, Foresight News

Недавно, Drift Протокол опубликовал последние результаты расследования инцидента с атакой, указывающие на то, что эта операция была проведена тем же злоумышленником, причастным к хакерскому инциденту в Radiant Capital в октябре 2024 года, с высокой степенью сходства в цепочке потоков средств и оперативных методах. Компания по кибербезопасности Mandiant приписала атаку на Radiant Capital группе UNC4736, организации, связанной с правительством Северной Кореи.

После атаки на Drift хакеры накопили 130 293 ethereum-eth-143">ETH, что эквивалентно примерно 266 миллионам долларов. Инцидент затронул 20 протоколов, включая Prime Numbers Fi, Gauntlet, Elemental DeFi, Project 0, среди прочих. Prime Numbers Fi оценила потери более 10 миллионов долларов, Gauntlet - около 6,4 миллиона долларов, Neutral Trade - около 3,67 миллиона долларов, а Elemental DeFi - около 2,9 миллиона долларов, при этом Elemental выразила надежду на получение частичной компенсации от Drift.

Drift заявила, что атака была тщательно спланированной операцией, продолжавшейся шесть месяцев. Осенью 2025 года группа, утверждающая, что она является компанией по количественному трейдингу, обратилась к участникам Drift на крупной криптоконференции. Исходя из графика, к основным криптовалютным конференциям в этот период относилась Корея Блокчейн Неделя 2025 (22–28 сентября 2025 года, проходит в Сеуле), TOKEN2049 Сингапур (1–2 октября 2025 года, проходит в Сингапуре), Binance Blockchain Week Дубай 2025 (30–31 октября 2025 года, проходит в Дубае) и solana-4603">Солана Breakpoint Dubai (20-21 ноября 2025 года, проходит в Дубае).

Представители Drift утверждали, что они обладают техническими навыками, имеют подтвержденный профессиональный опыт и хорошо знакомы с работой Drift. Обе стороны создали группу в Telegram и в течение следующих месяцев вели предметные обсуждения о торговых стратегиях и интеграции казначейства.

С декабря 2025 года по январь 2026 года эта группа официально перешла на экологическое казначейство в Drift, заполнив необходимые формы с подробной стратегией. Они провели несколько рабочих обсуждений с несколькими участниками, подняли подробные вопросы по продукту и внесли на депозит более 1 миллиона долларов из своих собственных средств. Благодаря терпеливой и упорядоченной работе они создали полностью функциональное бизнес-представительство в экосистеме Drift.

Обсуждения интеграции продолжались до марта этого года. Несколько участников проекта Drift снова встретились с этими людьми на различных международных конференциях. К этому времени обе стороны установили почти шестимесячные партнерские отношения, и другая сторона перестала быть незнакомцем, а стала партнером, с которым они работали. В течение этого периода они обменивались ссылками на проекты, инструменты и приложения, которые, по их утверждению, они разрабатывали, что является распространенной практикой среди торговых фирм.

После атаки 2 апреля следователи провели комплексное судебное исследование известных зараженных устройств, учетных записей и записей о переписке, и взаимодействие с этой торговой группой стало наиболее вероятным путем проникновения. На момент атаки записи чата Telegram и вредоносное ПО другой стороны были полностью стерты.

Расследование показало, что злоумышленники могли проникнуть на устройства участников Drift тремя способами. Один из участников мог быть скомпрометирован после клонирования общего для команды хранилища кода, которое было замаскировано под фронтенд для развертывания их казначейства. Другого участника уговорили скачать приложение TestFlight, которое, по словам другой стороны, было их продуктом-кошельком. Что касается пути проникновения в репозиторий кода, сообщество специалистов по безопасности неоднократно предупреждало с декабря 2025 года по февраль 2026 года о известных уязвимостях в VSCode и Cursor, когда простое открытие файла, папки или репозитория в редакторе могло незаметно выполнить произвольный код без нажатия кнопок или каких-либо запросов со стороны пользователя. Полный криминалистический анализ затронутого оборудования все еще продолжается.

Эта операция связана с тем же злоумышленником, который участвовал в хакерском инциденте в Radiant Capital в октябре 2024 года. Mandiant приписала атаку на Radiant UNC4736, спонсируемой государством организации из Северной Кореи, также известной как AppleJeus или Citrine Sleet. Приписывание основано на двух аспектах: потоки средств по цепочке указывают на то, что средства, использованные для планирования и тестирования этой операции, можно проследить до злоумышленников из Radiant; с оперативной точки зрения, маскировка, использованная в этой акции, показывает идентифицируемые совпадения с известными действиями, связанными с Северной Кореей.

Drift отметил, что лица, появившиеся на офлайновых встречах, не имели гражданства Северной Кореи. Такие высокопоставленные угрозы со стороны Северной Кореи обычно устанавливают личные отношения через посредников третьих сторон.

UNC4736 — это группа угроз, отслеживаемая Mandiant, с высокой степенью уверенности связывающая ее с Генеральным разведывательным управлением Северной Кореи. Эта организация постоянно нацеливалась на криптовалюта и финтех-индустрии с 2018 года, крадя цифровой контент активы через атаки на цепочку поставок, социальную инженерию и доставку вредоносного ПО.

Известные крупные инциденты атак включают атаку на цепочку поставок 3CX в марте 2023 года, кражу 50 миллионов долларов из Radiant Capital в 2024 году и кражу 285 миллионов долларов из Drift, при этом статистические данные указывают на то, что организация в общей сложности украла около 335 миллионов долларов.

Эта группа широко рассматривается как подгруппа группы Lazarus, сосредоточенная на киберпреступности, мотивированной финансовой выгодой. Группа Lazarus похитила примерно 1,5 миллиарда долларов активов у Bybit в феврале 2025 года, что стало крупнейшим одиночным кражей в истории криптовалют.

Группа Lazarus - это группа участников киберугроз, поддерживаемых правительством Северной Кореи, принадлежащая Разведывательному управлению, в состав которого входят несколько подгрупп, таких как UNC4736 (то есть AppleJeus/Citrine Sleet) и TraderTraitor. По данным Chainalysis, северокорейские хакеры похитили примерно 6,75 миллиарда долларов в криптовалюте через такие группы, как Lazarus, причем более 2 миллиардов долларов только в 2025 году.

Эта организация несет ответственность за несколько сенсационных на мировом уровне инцидентов атак: взлом Sony Pictures Entertainment в 2014 году, кражу 81 миллиона долларов из центрального банка Бангладеш в 2016 году, глобальную эпидемию вымогательского ПО WannaCry в 2017 году, кражи в размере 620 миллионов долларов и 100 миллионов долларов с мостов Ronin Bridge и Harmony Horizon Bridge в 2022 году, а также атаки на Atomic Wallet и Stake в 2023 году. В октябре 2024 года UNC4736 атаковала Radiant Capital, похитив 50 миллионов долларов; в феврале 2025 года TraderTraitor похитил рекордные 1,5 миллиарда долларов с Bybit; а в апреле 2026 года они совершили атаку на Drift Protocol на сумму 285 миллионов долларов.

Lazarus в совокупности привел сумму краж криптовалюты Северной Кореей к 6,75 миллиардам долларов. Методы атак изменились с раннего разрушения на долгосрочную инфильтрацию, социальную инженерию, атаки на цепочку поставок и вредоносное ПО умный контракт/многоподписное взломание.

В заявлении Drift отмечалось, что расследование показало, что личности, использованные в действиях, направленных на третьи стороны, имели полную личную и профессиональную историю, включая опыт работы, публичные квалификации и профессиональные сети. Лица, которых участники Drift видели в автономном режиме, тратили месяцы на создание профилей личности, которые могли выдержать проверку в контексте делового сотрудничества.

Исследователь в области кибербезопасности Тейлор Монахан ранее заявил, что северокорейские ИТ-специалисты проникают в компании, занимающиеся криптовалютой, и проекты DeFi как минимум семь лет, причем более 40 платформ DeFi вовлекают северокорейских ИТ-специалистов на различных этапах. Инцидент с Drift дополнительно указывает на то, что злоумышленники перешли от проникновения в удаленные рабочие места к личным, длительным целенаправленным разведывательным операциям.

Drift заявил, что будет продолжать сотрудничать с правоохранительными органами, криминалистическими партнерами и командами экосистемы, и что более подробная информация будет опубликована после завершения расследования. Все остальные функции протокола были заморожены, украденные кошельки были удалены из мультиподписей, а адреса злоумышленников были помечены на различных биржах и операторах межцепочечных мостов.