Японські та американські власті звинувачують північнокорейське угруповання TraderTraitor у викраденні 308 млн $ у криптовалюті з DMM Bitcoin у травні 2024 року.
Атака була організована північнокорейською хакерською групою TraderTraitor, відомою також як Jade Sleet та UNC4899. Група спеціалізується на соціальній інженерії, заманюючи працівників компаній до встановлення шкідливих програм через фальшиві пропозиції роботи або спільні проєкти на GitHub.
Зокрема, зловмисники зв’язалися зі співробітником компанії Ginco, що працювала з гаманцями для DMM Bitcoin. Вони надіслали фальшивий тестовий Python-скрипт, який став інструментом для подальшого отримання доступу до системи. У травні 2024 року хакери використали сесійні дані співробітника для маніпуляцій у внутрішній системі Ginco, що призвело до втрати 4,502.9 BTC.
Chainalysis підтвердила, що кошти були переміщені через CoinJoin Mixing Service для заплутування слідів і далі через онлайн-майданчики, зокрема HuiOne Guarantee, відомий зв’язками з кіберзлочинами. TraderTraitor діє з 2020 року, орієнтуючись на компанії у Web3-секторі, криптовалюту та інфраструктурні сервіси. Група також відома атаками на JumpCloud і використанням вразливостей для поширення шкідливих npm-пакетів. У цьому інциденті основними методами були соціальна інженерія та маніпуляція внутрішніми транзакціями.
Інцидент із DMM Bitcoin показує вразливість криптовалютних компаній до складних атак, що включають соціальну інженерію та багаторівневі маніпуляції. Це підкреслює необхідність посилення кіберзахисту, особливо в компаніях, що працюють із цифровими активами.
