Как КНДР украла $680k через “разработчиков”
История о том, как шесть северокорейцев с 31 фейковой личностью встроились в криптоиндустрию и ограбили фан-токен маркетплейс Favrr.
1. Подготовка
• 6 операторов из КНДР управляли 31 фейковой личностью.
• Подделанные ID, телефоны, купленные аккаунты LinkedIn/Upwork.
• Некоторые выдавали себя за сотрудников Polygon Labs, OpenSea, Chainlink.
• У каждого были скрипты для собеседований, резюме, портфолио.
Работали как корпорация:
• Google Drive и таблицы – для задач и бюджета,
• Google Translate – для общения,
• VPN, AnyDesk, аренда ПК – для маскировки.
В мае 2025 их расходы составили $1 489.80 – всё расписано до копейки.
2. Ограбление
• Под видом нанятых девелоперов получили доступ к системам Favrr.
• Внедрили бэкдоры и залезли к приватным ключам.
• Вывели $680k, замаскировав перевод под рабочие транзакции.
• Разбили суммы, прогнали через миксеры и скрыли следы.
ZachXBT отследил кошелёк и подтвердил: это была инсайдерская кража, а не взлом снаружи.
3. Как спалились
• Один из них облажался – его контр-взломали.
На устройстве нашли:
• скрины,
• профили Chrome для разных личностей,
• расписания и смены,
• таблицы с тратами.
Так вскрылось, что 6 человек управляли целой сетью фейков, строили карьеру в крипте и готовили атаки изнутри.
Масштаб проблемы
В 2024 КНДР украла $1.34b (60% всех краж в мире).
В феврале 2025 Lazarus Group вынесла с Bybit $1.5b ETH.
У режима работает до 8 400 айтишников, которые маскируются под фрилансеров и финансируют оружейную программу.
