«Рутинный процесс найма превратился в операцию по сбору разведданных», — заявили в Kraken 1 мая. Первые подозрения возникли, когда соискатель присоединился к собеседованию под другим именем и «переключался между голосами», словно получал подсказки.
Вместо отказа Kraken продолжил общение с кандидатом, чтобы изучить тактику хакеров. Северная Корея, отрезанная санкциями от мира, годами атакует криптокомпании, украв в этом году криптовалюту на миллиарды долларов.
Партнеры отрасли предупредили Kraken о массовых попытках северокорейских хакеров устроиться в криптофирмы. Один из email-адресов кандидата совпал с данными хакерской группы из списка 🚨.
Расследование выявило сеть поддельных идентичностей, которые хакер использовал для подачи заявок в разные компании. Также обнаружились технические несоответствия:
- Удаленный доступ к Mac через VPN 🌐;
- Поддельные документы, вероятно, созданные на основе украденных данных.
Резюме кандидата было привязано к GitHub-аккаунту с email, скомпрометированным в прошлой утечке. Основной документ, удостоверяющий личность, оказался измененным — данные, вероятно, украдены два года назад.
На финальном этапе глава безопасности Kraken Ник Перкоко провел проверку с «ловушками», которую кандидат провалил.
«Не доверяй, проверяй. Этот принцип криптоиндустрии критически важен в эпоху цифровых угроз», — заявил Перкоко.
Контекст
- Группа Lazarus, связанная с КНДР, стоит за взломом биржи Bybit на $1,4 млрд в феврале 2024 — крупнейшим в истории крипторынка 💥.
- В 2024 хакеры из КНДР похитили более $650 млн через криптоатаки, внедряя IT-специалистов в компании как «внутренних угроз».
- В апреле подгруппа Lazarus создала три подставные компании (две в США) для распространения вредоносного ПО среди разработчиков.
Kraken призвал компании усилить проверки кандидатов и соблюдать принцип «Trustless» — даже в HR-процессах.
Не является инвестиционной рекомендацией.