Выявлено 100 северокорейских агентов в крипто компаниях

Главное за минуту:

• Проект Ketman выявил около 100 северокорейских ИТ-специалистов, проникших в компании Web3.
• Эти агенты используют поддельные личности и проходят полноценные собеседования в криптокомпаниях.
• За 6 месяцев расследования команда ETH Rangers предупредила 53 Web3-проекта о рисках.
• КНДР украла 👉 криптовалюты на $2,02 миллиарда только в 2025 году — рост на 51%.

Команда 👉 Octobit разобралась в том, как изменилась стратегия хакеров из Северной Кореи и почему это угрожает всей экосистеме.

Новая стратегия северокорейских хакеров

Северокорейские агенты изменили тактику. Раньше хакеры из КНДР полагались на удаленные эксплойты и взломы 👉 бирж. Теперь они проникают непосредственно внутрь криптокомпаний. Ужасает? Еще бы.

Эти оперативники проходят настоящие собеседования, получают доступ к внутренним репозиториям и месяцами работают в командах разработки продуктов. Мы наблюдаем системную уязвимость из-за глобального удаленного найма с минимальной проверкой KYC.

Масштаб проблемы:

• Выявлено около 100 IT-специалистов из КНДР, интегрированных в компании Web3
• Общие кражи КНДР в 2025 году — $2,02 миллиарда
• Накопленные убытки от северокорейских хакеров — $6,75 миллиарда

Один из вопиющих примеров — криптобиржа Stabble, которая обнаружила северокорейского агента в собственной руководящей команде. Хак Drift Protocol 1 апреля 2026 года на сумму $285 миллионов — также результат деятельности этих агентов.

Как работал проект Ketman и программа ETH Rangers

ETH Rangers запустили в конце 2024 года. Совместный проект Ethereum Foundation, Secureum, The Red Guild и Security Alliance (SEAL) привлек 17 независимых исследователей безопасности. Их мандат — укрепление 👉 защиты экосистемы Ethereum.

Проект Ketman стал одной из самых успешных инициатив. Согласно исследованию WEEX, он вышел далеко за рамки стандартного аудита или баунти-программы.

Как они находят северокорейских агентов?

1. Анализ несогласованной рабочей истории в резюме
2. Выявление коммуникационных паттернов, скрывающих истинный часовой пояс
3. Отслеживание маршрутизации платежей через специфические промежуточные звенья
4. Идентификация технических «отпечатков пальцев», которые повторяются у разных кандидатов

Фактически это разведывательная работа, а не просто исследование безопасности. Необходим постоянный мониторинг досок вакансий, активности на GitHub, процессов найма и поведенческих сигналов внутри существующих команд.

🧠 Мнение команды Octobit

Мы считаем, что эта ситуация — переломный момент для криптоиндустрии. Самый опасный враг — не тот, кто атакует извне, а тот, кто сидит рядом с вами на стендапах. Северная Корея создала прецедент, который заставит компании переоценить всю систему найма. Скоро увидим более строгие KYC-процедуры даже для разработчиков, что может замедлить инновации.

Методы выявления агентов КНДР

Как Ketman выявляет поддельные личности? Через комплексный анализ цифровых следов. Аналитики согласно исследованию Phemex разработали уникальный инструментарий.

Ключевые методы выявления:

• Повторное использование аватаров и метаданных на нескольких GitHub-аккаунтах
• Несовместимые email-адреса и языки интерфейса, противоречащие заявленной национальности
• Аномальные паттерны доступа к репозиториям
• Координированные действия между якобы не связанными аккаунтами

Главный продукт — открытый инструмент выявления подозрительных аккаунтов на GitHub. Именно эта технология позволила идентифицировать разработчиков из КНДР, действовавших под прикрытием. Уже 53 Web3-компании получили предупреждения.

Стоит понимать: эти 100 человек не обязательно активно запускают эксплойты в реальном времени. Их присутствие имеет множественные функции: генерация дохода для режима через легитимные зарплаты, сбор разведданных о протоколах и кодовых базах, а также подготовка для будущих атак.