Кибергруппа TraderTraitor: как северокорейские хакеры крадут миллиарды в криптовалюте через атаки на облачные платформы и цепочки поставок

Происхождение и цели TraderTraitor

TraderTraitor изначально было кодовым названием, данным американскими спецслужбами кластеру северокорейской киберактивности. В апреле 2022 года ФБР, CISA и Министерство финансов США подтвердили, что за этой группой стоят известные хакерские подразделения КНДР: Lazarus Group, APT38, BlueNoroff и Stardust Chollima. Основная цель TraderTraitor - финансовая выгода. Северная Корея, находящаяся под жесткими санкциями, активно использует киберпреступность для пополнения бюджета. Группировка фокусируется на компаниях из сферы блокчейна и криптовалют, включая биржи, DeFi-платформы и стартапы.

Эволюция методов атак

Ранние кампании TraderTraitor (2020-2022) основывались на троянизированных криптоприложениях. Злоумышленники выдавали себя за рекрутеров и предлагали жертвам скачать вредоносные программы под видом инструментов для трейдинга. Эти приложения, созданные на базе Electron и Node.js, выглядели легитимно, но содержали скрытые механизмы для загрузки дополнительных вредоносных модулей.

В 2023 году группировка перешла на атаки через цепочки поставок, компрометируя разработчиков через репозитории GitHub и npm. Например, в одном из случаев злоумышленники внедрили вредоносные зависимости в проекты блокчейн-компаний, что позволило им заражать исходный код и получать доступ к внутренним системам.

Отдельный инцидент связан с атакой на облачного провайдера JumpCloud в июле 2023 года. Взломав его инфраструктуру, хакеры получили доступ к клиентам - компаниям из криптовалютного сектора. Этот случай стал редким примером компрометации облачного сервиса для атак на его пользователей.

Крупнейшие хищения криптовалют

В 2024 году TraderTraitor продолжила атаковать криптобиржи, используя социальную инженерию. В мае группировка похитила $308 млн у японской биржи DMM Bitcoin, взломав разработчика через поддельное тестовое задание на Python. Чуть позже последовала атака на Bybit, где злоумышленники украли $1,5 млрд, внедрив вредоносный код в облачную инфраструктуру и подменив транзакции.

Акцент на облачные технологии

TraderTraitor активно исследует уязвимости облачных сервисов. В атаке на Bybit хакеры использовали украденные AWS-токены для доступа к окружению Safe{Wallet}, а затем модифицировали фронтенд приложения, чтобы перенаправлять средства на свои кошельки. Это демонстрирует их способность комбинировать социальную инженерию, облачные уязвимости и атаки на веб-приложения.

Выводы

TraderTraitor остается одной из самых опасных кибергрупп, сочетающих методы APT-групп и классических киберпреступников. Их атаки нацелены не только на прямые хищения, но и на компрометацию ключевых элементов ИТ-инфраструктуры - от облачных платформ до открытого ПО. Учитывая масштабы их операций, противодействие таким угрозам требует координации между государственными органами и частным сектором.

IPv4

• 131.226.2.120
• 136.244.93.248
• 146.19.173.125
• 146.19.173.29
• 146.70.124.70
• 146.70.125.120
• 146.70.88.126
• 185.216.144.41
• 185.236.231.224
• 185.62.58.122
• 185.62.58.74
• 192.236.199.57
• 192.248.145.210
• 194.11.226.16
• 194.15.112.200
• 195.133.26.32
• 198.244.135.250
• 23.227.202.54
• 23.254.230.253
• 38.132.124.88
• 38.180.62.135
• 45.141.58.40
• 5.133.9.252
• 5.206.227.51
• 54.39.83.151
• 70.34.245.118
• 79.137.248.193
• 80.82.77.80
• 88.119.174.148
• 91.103.140.191
• 91.193.18.201
• 91.234.199.90

Domains

• alwaysckain.com
• api.bitzone.io
• api.coinhar.io
• api.coinpricehub.io
• api.ethzone.io
• api.fivebit.io
• api.jquery-release.com
• api.stockinfo.io
• api.thaibit.io
• basketsalute.com
• bi2price.com
• blockprices.io
• cdn.clubinfo.io
• cdn.clublogos.io
• cdn.jqueryversion.net
• cdn.leaguehub.net
• cdn.logoeye.net
• cdn.logosports.net
• cdn.soccerlab.io
• chainanalyser.com
• coingeckoprice.com
• contortonset.com
• cryptopriceoffer.com
• dafom.dev
• en.stocksindex.org
• en.stockslab.org
• en.wfinance.org
• getstockprice.com
• getstockprice.info
• indobit.io
• mavenradar.com
• npmaudit.com
• npmjscloud.com
• npmjsregister.com
• npmrepos.com
• primerosauxiliosperu.com
• prontoposer.com
• relysudden.com
• rentedpushy.com
• skypredict.org
• tradingprice.net
• update.jquerycloud.io
• weatherdatahub.org

SHA256

• 08607faad41009e31c094539b20b615b3e7a71e716f2bca12e4a097f38f14466
• 28c3d359364bf5d64a864f08d4743ea08e48017be27fda8cf53fb5ba307583b4
• 47e997b85ed3f51d2b1d37a6a61ae72185d9ceaf519e2fdb53bf7e761b7bc08f
• 5701d7bcf809d5ffc9061daeb24d3e7cc6585d9b42bacf94fc68a6c500542f8c
• 5d18443f88f38ad7e3de62ac46489f649b4e8183b76fba902fb9a9ccf8a0d5c8
• 60b3cfe2ec3100caf4afde734cfd5147f78acf58ab17d4480196831db4aa5f18
• 6f1c47566a46d252885858f928a3b855fb3fd03941e3571d152562d0c75c4d47
• 88f23c22a7f9da8b5087a3fa9c76fd5c79903d89ceda4152943cadc0797cbcb8
• 937c533bddb8bbcd908b62f2bf48e5bc11160505df20fea91d9600d999eafa79
• 9b1c1013ad8d2c0144af74eff5a2afc454b7b858bb7a5cba312bfb0f531c8930
• a8b1c5eb2254e1a3cec397576ef42da038600b4fa7cd1ab66472d8012baabf17
• a90561efc22bdd777956cc67d5b67e3ec3c1b4f35a64f4328e40615d2ab24186
• e89bf606fbed8f68127934758726bbb5e68e751427f3bcad3ddf883cb2b50fc7
• e901d9279d8f2ad96d741e7cd92770c0ce3ff3f4c029dbf26177b4e09228fe66
• f0854a28209e07a70d7847af4b2632e697bcb95f2c8fcead41eb9314710bd0c2

Wallet

• 0x3f5CE5FBFe3E9af3971dD833D26BA9b5C936f0bE
• 0x6F46CF5569aefa1Acc1009290c8e043747172d89
• 0x742d35Cc6634C0532925a3b844Bc454e4438f44e