Северокорейские хакеры похитили криптовалюту на сумму 308 миллионов долларов у японской компании Bitcoin.DMM.com. Об этом сообщили Федеральное бюро расследований США, Центр киберпреступности Министерства обороны и Национальное полицейское агентство Японии, пишет Securitylab.
За атакой стоит хакерская группировка TraderTraitor, также известная под названиями Jade Sleet, UNC4899 и Slow Pisces. Злоумышленники использовали методы социальной инженерии, одновременно нацеливаясь на нескольких сотрудников компании.
В конце марта 2024 года северокорейский хакер связался с сотрудником японской компании Ginco через LinkedIn, представившись рекрутером. Ginco занимается разработкой программного обеспечения для корпоративных криптовалютных кошельков.
Злоумышленник отправил сотруднику, имевшему доступ к системе управления кошельками Ginco, вредоносный Python-скрипт под видом предварительного теста для трудоустройства. Скрипт находился на странице GitHub. Жертва скопировала код на свою личную страницу GitHub, после чего произошло заражение.
В середине мая 2024 года участники группировки TraderTraitor получили несанкционированный доступ к системе коммуникаций Ginco. Злоумышленники использовали данные сессионных cookie-файлов, что позволило им действовать в системе от имени скомпрометированного сотрудника.
В конце того же месяца хакеры вмешались в процесс обработки легитимного запроса на транзакцию, поступившего от сотрудника DMM. Благодаря этому злоумышленникам удалось похитить 4502,9 биткоина, что на момент атаки составляло 308 миллионов долларов США. Все похищенные средства были переведены на криптовалютные кошельки, находящиеся под контролем группировки TraderTraitor.