Федеральное бюро расследований США опубликовало информационное сообщение, в котором возложило ответственность за взлом японского сервиса обмена криптовалют DMM Bitcoin на северокорейских хакеров. В результате атаки в мае нынешнего года киберпреступникам удалось похитить 4502,9 биткойна, что по тогдашнему курсу эквивалентно 308 миллионам долларов. В сообщении сказано, что атака была осуществлена хакерской группировкой TraderTraitor (также известной как Jade Sleet, UNC4899 и Slow Pisces), действующей в интересах властей КНДР.
Согласно выводам специалистов ФБР, операция началась в конце марта, когда один из хакеров под видом рекрутера вышел на программиста японской компании Ginco, разрабатывающей ПО для криптовалютных кошельков, и предложил ему чрезвычайно высокооплачиваемую работу. Для подтверждения квалификации программисту необходимо было загрузить с GitHub и пройти некий тест. Данная тактика является весьма распространенной среди северокорейских хакерских групп, выбирающих своими целями IT-специалистов.
Тест содержал вредоносный код, позволивший скомпрометировать компьютер сотрудника Ginco. Далее хакеры TraderTraitor скомпрометировали сессионные файлы cookie и под видом этого сотрудника получили доступ к коммуникационной системе Ginco. Это позволило им создать легитимный для систем DMM Bitcoin запрос - и вывести 4502,9 биткойна. Стоит отметить, что власти США отслеживают активность группировки TraderTraitor с 2022 года, когда она начала операции, связанные с блокчейн-структурами. В свою очередь платформа GitHub в 2023 году предупреждала об изощренных кампаниях социальной инженерии, направленных на учетные записи квалифицированных разработчиков.