Северокорейские ИТ-специалисты проникают в технологические и криптопроекты, присваивая более 16 миллионов долларов

• В 2025 году северокорейским ИТ-специалистам было выделено более 16,58 млн долларов США
• Эти работники выдают себя за фрилансеров, чтобы получить работу в сотнях крипто- и технологических стартапов.
• Они обходят проверки безопасности и направляют криптовалютные платежи на санкционированные адреса, связанные с КНДР.

Растущая проблема национальной безопасности тихо разворачивается в глобальной технологической и криптоиндустрии. Согласно данным от ончейн-сыщика ZachXBT, более 16,58 млн долларов США было направлено северокорейским ИТ-работникам только с начала 2025 года, что составляет примерно 2,76 млн долларов США в месяц.

Эти разработчики выдают себя за законных фрилансеров, но тайно связаны с режимом КНДР. Используя простые тактики и социальную инженерию, они взломали технические команды, обеспечили себе конфиденциальные роли и перенаправили криптовалютные платежи на адреса, связанные с санкционированными субъектами.

1/ My recent investigation uncovered more than $16.58M in payments since January 1, 2025 or $2.76M per month has been sent to North Korean IT workers hired as developers at various projects & companies.

To put this in perspective payments range from $3K-8K per month meaning… pic.twitter.com/pjHZG9wJ4r

— ZachXBT (@zachxbt) July 2, 2025

Каковы тревожные сигналы и модели риска?

Эти ИТ-работники обычно зарабатывают от $3000 до $8000 в месяц, что говорит о том, что только в этом году было скомпрометировано от 345 до 920 рабочих мест. Хотя это число ошеломляет, закономерности, лежащие в основе их занятости, свидетельствуют о тревожном отсутствии осмотрительности в процессах найма и проверки во многих компаниях.

Большинство команд не замечают вопиющих признаков, таких как работники, которые отказываются встречаться с местными членами команды, несмотря на то, что утверждают, что живут поблизости, или те, кто использует российские IP-адреса, утверждая, что находятся в США. В некоторых случаях эти работники даже рекомендуют друг другу новые должности, создавая внутренние кластеры скомпрометированного персонала.

Как они обходят проверки безопасности?

Многие из этих ИТ-работников демонстрируют явные признаки обмана. Они часто меняют свои имена пользователей GitHub, удаляют свои профили LinkedIn после получения работы и часто не проходят базовые проверки Know Your Customer (KYC). Несмотря на эти красные флажки, криптокомпании продолжают неосознанно обрабатывать платежи им, иногда напрямую с регулируемых платформ, таких как Circle.

7/ A few key trends I have observed:

A common misconception is that US exchanges have more rigorous KYC/AML requirements than offshore competitors.

DPRK ITWs have an increasing number of accounts tied to US exchanges like Coinbase or Robinhood

MEXC remains a popular choice…

— ZachXBT (@zachxbt) July 2, 2025

Круг и проблемы соответствия

В одном случае платежи USDC были отслежены до адреса, который находился всего в одном шаге от занесенного в черный список Tether счета, связанного с известным оперативником КНДР. Еще более тревожным является наличие счетов на биржах в США, принадлежащих этим работникам.

По теме: Криптовалютная схема Северной Кореи: маскировка IT-работника финансирует военных

Несмотря на предположение, что платформы вроде Coinbase и Robinhood применяют более строгие правила KYC, многие смогли воспользоваться этими услугами без обнаружения. Другие по-прежнему предпочитают биржи вроде MEXC для отмывания средств в блокчейне, отойдя от Binance из-за улучшенного надзора.

Почему стартапы подвергаются такому высокому риску?

Хотя криптопроекты часто выделяются, традиционные технологические компании сталкиваются с такой же подверженностью этой угрозе. Эти работники часто жонглируют несколькими удаленными ролями, плохо работают и часто увольняются, но ущерб может быть нанесен задолго до того, как их уволят.

Связанный: Сенатор США назвал криптовалюту угрозой и связал ее с ядерным финансированием Северной Кореи

Как только они внедряются в проект, особенно в роль разработчика смарт-контрактов, они представляют реальную угрозу целостности и финансовой безопасности проекта. В конечном счете, многие команды отдают приоритет сокращению расходов, а не безопасности, нанимая более дешевые международные таланты без проведения достаточных проверок биографических данных. Это создало среду, которая созрела для эксплуатации.

Источник