Атака на основанную на Solana децентрализованную биржу Drift, проведённая 1 апреля 2026 года и приведшая к краже примерно $285 млн, оказалась финалом многоэтапной операции КНДР. По данным проекта, злоумышленники вели подготовку не менее шести месяцев, сочетая глубокую социальную инженерию с точечным использованием разработческих инструментов.
Drift с «средней степенью уверенности» связывает инцидент с северокорейской группой UNC4736, также известной как AppleJeus, Golden Chollima, Citrine Sleet и Gleaming Pisces. Эта группа, относимая к экосистеме Lazarus, систематически атакует криптовалютный сектор с не менее чем 2018 года, в том числе участвовала в компрометации цепочки поставок X_TRADER/3CX (2023) и краже $53 млн с DeFi-платформы Radiant Capital в 2024 году.
Социальная инженерия против DeFi: как фейковые трейдеры проникли в экосистему Drift
Ключевым элементом операции стала долгосрочная социальная инженерия. Осенью 2025 года люди, представлявшиеся квантовым трейдинговым фондом, начали целенаправленно знакомиться с контрибьюторами Drift на крупных криптоконференциях в разных странах. Целью было выстроить доверительные деловые отношения под предлогом интеграции торговых стратегий с протоколом.
Участники группы не были гражданами КНДР, что соответствует известной практике: северокорейские операторы активно используют третьих лиц для личных встреч и переговоров. По словам Drift, собеседники демонстрировали техническую компетентность, обладали проверяемыми биографиями и знали внутреннюю специфику работы протокола. Сразу после первой встречи был создан Telegram-чат, где на протяжении месяцев обсуждались стратегии, риски и варианты интеграции.
Между декабрём 2025 и январём 2026 года «трейдеры» открыли на платформе Ecosystem Vault, заполнив детализированную форму со стратегией и задействовав нескольких контрибьюторов для уточнения сложных продуктовых нюансов. Для усиления доверия они завели в хранилище более $1 млн собственных средств, продолжая активную коммуникацию до марта 2026 года и делясь ссылками на «разрабатываемые» инструменты и проекты.
Предполагаемый технический вектор: вредоносные проекты Visual Studio Code
Автозапуск кода через tasks.json и кампания Contagious Interview
После кражи выяснилось, что Telegram-переписка и вредоносное ПО были удалены незадолго до атаки, что осложнило расследование. Один из основных рассматриваемых векторов — компрометация через репозиторий с проектом Visual Studio Code.
По оценке Drift и сторонних аналитиков, злоумышленники могли передать разработчикам проект VS Code, в котором файл tasks.json был модифицирован для автоматического запуска вредоносного кода при открытии рабочей папки (опция runOn: folderOpen). Такой приём с конца 2025 года используется северокорейскими операторами в рамках кампании Contagious Interview, когда кандидату под видом тестового задания выдают репозиторий с закладкой.
В ответ на злоупотребления этой функцией Microsoft уже внедрила дополнительные механизмы защиты в VS Code версий 1.109 и 1.110, ограничив автоматический запуск задач при открытии рабочей области. Тем не менее, случаи с Drift и другими целевыми атаками показывают, что инструменты разработчика стали полноценным вектором проникновения наряду с фишингом и эксплуатацией уязвимостей.
Фрагментированная киберпрограмма КНДР: Lazarus, Kimsuky и Andariel
По данным DomainTools Investigations, кибероперации КНДР эволюционировали в умышленно фрагментированную экосистему, где разработки и инфраструктура разделены по миссиям. Это снижает риски деанонимизации: компрометация одного инструмента не раскрывает всю программу, а различия в тактиках затрудняют атрибуцию.
Условно выделяются три направления: шпионаж, связанный главным образом с группой Kimsuky; финансово мотивированные операции Lazarus/UNC4736, ставшие «опорой» для обхода санкций; и деструктивные атаки с использованием вымогательского и стирающего ПО, ассоциированные с Andariel. Совокупно эти операции обеспечивают одновременно разведку, финансирование и демонстрацию возможностей режима.
Северокорейские IT-работники, социальные схемы и роль криптовалют
От фейковых собеседований до удалённой работы под чужими личностями
Социальная инженерия остаётся основным катализатором операций КНДР. Помимо Contagious Interview и атак на цепочку поставок (как компрометация популярного npm-пакета Axios), активно развивается программа «IT worker fraud» — трудоустройство северокорейских специалистов в западные компании под украденными или вымышленными личностями.
По данным исследователей Flare и IBM X-Force, тысячи технических специалистов работают из Китая, России и других стран через сеть посредников и «ферм ноутбуков» в США и Европе. Посредники получают и пересылают корпоративные устройства, оформляют выплаты и логистику, а также нанимают «коллеров» — людей из Ирана, Ирландии, Индии и других стран, которые проходят технические интервью, выдавая себя за подготовленные западные персоны.
Криптовалюта в этой схеме играет ключевую роль: по оценке Chainalysis, именно через неё львиная доля доходов от таких IT-схем и хакерских операций возвращается в КНДР, обходя международные санкции. Одновременно появляются признаки расширения набора кадров: зафиксированы случаи привлечения специалистов из Ирана, Сирии, Ливана и Саудовской Аравии.
События вокруг Drift демонстрируют, что границы между «классическими» APT-операциями и финансовой киберпреступностью окончательно размыты. Организациям в криптоиндустрии и за её пределами критично усиливать проверку контрагентов, применять многофакторную аутентификацию, изолировать рабочие окружения разработчиков и внедрять контроль исходного кода и IDE-плагинов. Компании, активно работающие с удалёнными сотрудниками и подрядчиками, должны пересмотреть процессы онбординга, верификации личности и мониторинга аномальной активности, чтобы не стать частью следующей многоходовой операции.
