Крадіжка близько 285 млн доларів із децентралізованої біржі Drift, що працює в екосистемі Solana, 1 квітня 2026 року стала фінальним акордом ретельно спланованої операції, яку пов’язують із КНДР. За оцінкою команди проєкту, підготовка до атаки тривала щонайменше пів року та поєднувала соціальну інженерію високого рівня з точковим зламом середовища розробки.
Атака КНДР на Drift: роль Lazarus та групи UNC4736
Drift з «середнім рівнем упевненості» атрибутує інцидент угрупованню UNC4736, також відомому як AppleJeus, Golden Chollima, Citrine Sleet та Gleaming Pisces. Ця група входить до ширшої екосистеми Lazarus, яку західні спецслужби та дослідники роками пов’язують із військовою розвідкою КНДР та кампаніями кіберкрадіжок у криптовалютному секторі.
Ще з 2018 року Lazarus системно атакує криптобіржі, DeFi-платформи та постачальників ПЗ. Серед відомих епізодів — компрометація ланцюга постачання X_TRADER/3CX у 2023 році та злам DeFi-платформи Radiant Capital із втратою 53 млн доларів у 2024-му. Атака на Drift логічно вписується в цю фінансово мотивовану стратегію обходу санкцій.
Соціальна інженерія проти DeFi: як фейковий трейдинговий фонд проник у Drift
Криптоконференції, довіра та Ecosystem Vault
Ключовим елементом операції стала довготривала соціальна інженерія в криптовалютній спільноті. Восени 2025 року люди, що представлялися квантовим трейдинговим фондом, почали цілеспрямовано знайомитися з контриб’юторами Drift на великих криптоконференціях у різних країнах, пропонуючи інтеграцію власних стратегій із протоколом.
За даними проєкту, співрозмовники не були громадянами КНДР — це відповідає відомій практиці залучення посередників і підставних осіб для офлайн-контактів. Вони демонстрували переконливу технічну експертизу, мали перевірювані профілі та глибоко орієнтувалися у внутрішній роботі Drift. Одразу після першої зустрічі було створено Telegram-чат, де протягом кількох місяців обговорювалися ризики, механіка продукту та формат інтеграції.
Між груднем 2025 та січнем 2026 року «фонд» відкрив на платформі Ecosystem Vault, надіславши детальний опис торгової стратегії та залучивши кількох розробників Drift для уточнення складних нюансів. Щоб посилити довіру, зловмисники завели до сховища понад 1 млн доларів «власних» коштів і до березня 2026 року підтримували інтенсивну комунікацію, надсилаючи посилання на нібито розроблювані інструменти.
Шкідливі проєкти Visual Studio Code: новий вектор атак на розробників
Contagious Interview, tasks.json та автозапуск шкідливого коду
Після інциденту команда Drift виявила, що частину листування в Telegram і сліди шкідливого ПЗ було видалено незадовго до атаки. Один із основних розглянутих векторів — компрометація через шкідливий репозиторій для Visual Studio Code, який зловмисники могли надіслати під приводом спільної роботи над інструментом.
За оцінками Drift і зовнішніх аналітиків, у проєкті VS Code був змінений файл tasks.json, де функцію runOn: “folderOpen” використано для автоматичного запуску шкідливого коду при відкритті робочої папки. Такий підхід від кінця 2025 року активно застосовується в північнокорейській кампанії Contagious Interview, коли кандидатам на технічні посади під виглядом тестового завдання надсилають репозиторій із вбудованою закладкою.
У відповідь на зловживання цією можливістю Microsoft посилила захист у Visual Studio Code версій 1.109 і 1.110, обмеживши автоматичний запуск задач під час відкриття робочої області. Втім випадок із Drift підтверджує: інструменти розробника перетворилися на повноцінний вектор проникнення поряд із фішингом, експлуатацією вразливостей та атаками на ланцюг постачання.
Фрагментована кіберпрограма КНДР: Lazarus, Kimsuky та Andariel
Аналітики DomainTools фіксують еволюцію кіберактивності КНДР у бік свідомо фрагментованої екосистеми. Інструменти, інфраструктура та цілі розподілені між різними підрозділами, що знижує ризик деанонімізації всієї програми в разі викриття однієї операції та ускладнює атрибуцію за класичними TTP (tactics, techniques and procedures).
Умовно виділяють три напрями: шпигунські кампанії Kimsuky; фінансово мотивовані атаки Lazarus/UNC4736, які забезпечують обхід санкцій за рахунок криптовалют; та деструктивні операції Andariel із використанням програм-вимагачів і «вайперів». Разом вони формують замкнений цикл — від розвідки до фінансування та демонстрації кіберможливостей режиму.
Схеми IT worker fraud і роль криптовалют у фінансуванні операцій
Фейкові співбесіди, «ферми ноутбуків» та глобальна мережа посередників
Соціальна інженерія залишається центральним інструментом для КНДР не лише в DeFi, а й у ширшій схемі IT worker fraud. За даними Flare та IBM X-Force, тисячі північнокорейських фахівців працюють віддалено з території Китаю, Росії та інших країн, використовуючи викрадені або вигадані особистості, іноді — через цілі «ферми ноутбуків» у США та Європі.
Посередники отримують і перенаправляють корпоративні пристрої, організовують фінансові перекази, а також наймають так званих «колерів» — осіб з Ірану, Ірландії, Індії та інших держав, які проходять технічні співбесіди від імені підготовлених фейкових профілів. За оцінкою Chainalysis, значна частина доходів від таких схем і від хакерських операцій повертається до КНДР у формі криптовалюти, що дозволяє обходити міжнародні санкції та здійснювати подальші кібератаки.
Інцидент із Drift демонструє, що межа між класичними APT-операціями та фінансовою кіберзлочинністю практично зникла. Компаніям у криптоіндустрії та за її межами варто посилити перевірку контрагентів і віддалених співробітників, запровадити багатофакторну автентифікацію, ізолювати робочі середовища розробників, контролювати використання IDE-плагінів і зовнішніх репозиторіїв коду. Перегляд процедур онбордингу, більш жорстка верифікація особи та постійний моніторинг аномальної активності допоможуть зменшити ризик стати наступною ланкою в багатоступеневій операції, подібній до атаки на Drift.
