Северокорейская хакерская группировка TraderTraitor использовала фейковые фриланс-вакансии для взлома облачных систем IT-компаний и кражи криптовалюты. Об этом сообщили специалисты Google Cloud и Wiz.
Подразделение, также известное как UNC4899, с июля 2024 по январь 2025 года атаковало две неназванные фирмы. Хакеры выходили на сотрудников через соцсети, выдавая себя за соискателей, и убеждали установить вредоносное ПО. Это дало им доступ к инфраструктурам Google Cloud и Amazon Web Services. Они определили серверы, связанные с криптотранзакциями, и похитили активы на сумму в «несколько миллионов долларов».
Google отметила, что атаки через вакансии — типичная тактика КНДР. Киберпреступники представляются рекрутерами, журналистами, экспертами или преподавателями, чтобы втереться в доверие. Они активно используют ИИ для создания реалистичных писем и вредоносных скриптов. Благодаря облачным целям группа расширяет масштаб атак и потенциальную прибыль.
По данным Wiz, TraderTraitor действуют с 2020 года. За ними стоят Lazarus Group, APT38, BlueNoroff и Stardust Chollima. Среди успешных атак — взлом Ronin Network игры Axie Infinity на 620 млн.
В 2024 году группа стала массово рассылать поддельные резюме биржам. Им приписывают атаки на DMM Bitcoin (305 млн) и Bybit (1,5 млрд). По оценке TRM Labs, за первую половину 2025 года такие группировки похитили 1,6 млрд — 70% от всех украденных криптоактивов.
источник
уникальность
