Binance: північнокорейські хакери - головна загроза для криптоіндустрії

У 2025 році ринок криптовалют зіткнувся з новою, але вже масштабною загрозою - північнокорейськими хакерами. Як заявив директор з безпеки Binance Джиммі Су, саме вони стали найбільшим ризиком для всієї галузі.

Ідеться не лише про традиційні кібератаки чи крадіжки, а про цілеспрямоване проникнення в криптокомпанії під виглядом кандидата на роботу, із застосуванням передових технологій соціальної інженерії.

Інсайдери під маскою кандидатів

Щодня оператори з КНДР надсилають сотні фальшивих заявок на вакансії в криптокомпанії, зокрема й у Binance. Щоб пройти співбесіди, вони використовують voice changers (зміна голосу) та deepfake‑відео - реалістичні синтетичні зображення та відео, які підміняють особу співрозмовника. Це дозволяє зловмисникам успішно брати участь у кількох етапах найму під різними особистостями, навіть імітуючи «схвалення» від вигаданих керівників.

Атаки через open‑source та NPM

Одним із найпоширеніших методів став цілеспрямований саботаж відкритого програмного коду.. Групи Lazarus та BlueNoroff поширюють шкідливі пакети у репозиторіях NPM та GitHub, вбудовуючи у популярні JavaScript‑бібліотеки шкідливий код. Такі пакети завантажують тисячі розробників у всьому світі, після чого програма починає шукати криптогаманці, красти паролі та проникати в корпоративні програми.

Lazarus Group, також відома як APT38, працює з 2010 року і застосовує широкий спектр методів - від spear-phishing і експлуатації вразливостей zero-day до впровадження шкідливого коду у open-source репозиторіїв і складних соціальних інженерних атак, включно з підробкою особистостей у процесі найму. Вона курирується розвідувальним агентством КНДР (Reconnaissance General Bureau).

Фішинг через “високооплачуваних” рекрутерів

Під виглядом престижних HR‑агентств хакери надсилають вакансії з привабливими умовами та технічними завданнями, в які вбудовано шкідливий код або небезпечні посилання. Запуск такого коду чи перехід за посиланням призводить до зараження пристрою та викрадення криптоактивів чи конфіденційних даних.

Ще одна поширена схема - підроблені пропозиції роботи

Підтверджені випадки та масштаби проблеми Криптобіржі Kraken та Binance неодноразово стикалися зі спробами працевлаштування північнокорейських агентів. Під час інтерв’ю вони користувалися фальшивими документами, VPN для приховування місцеперебування та реальним часом змінювали голос за допомогою підказок від “кураторів”.

За даними США, Японії та Південної Кореї, у 2024-2025 роках північнокорейські хакери викрали з криптовалютного сектору активи на $1-2 мільярди. Їхні методи - це суміш соціальної інженерії, шкідливого ПЗ та інсайдерських атак.

Що робити криптокомпаніям?

Джиммі Су та експерти наголошують на необхідності:

• посилювати перевірки кандидатів при наймі;
• впроваджувати автоматизовані системи виявлення deepfake‑контенту;
• ретельно перевіряти та оновлювати open‑source інструменти.

У світі, де кожен елемент коду або будь-яка вакансія може стати точкою входу для хакерів, лише комплексний підхід до безпеки здатний захистити криптоактиви та довіру інвесторів.