Агенты КНДР семь лет тайно писали код для ведущих DeFi-проектов

Северокорейские IT-специалисты устраиваются в DeFi-проекты на протяжении как минимум семи лет. Об этом заявила разработчица MetaMask Тейлор Монахан.

Yuppppppp

Lots of DPRK IT Workers built the protocols you know and love, all the way back to defi summer

The “7 years blockchain dev experience” on their resume is not a lie. https://t.co/EQNgl5KhJ5

— Tay 💖 (@tayvano_) April 5, 2026

«Множество IT-работников создавали протоколы, которые вы знаете и любите, еще со времен „лета DeFi“. Семь лет опыта блокчейн-разработки в их резюме — не обман», — написала она. 

Среди затронутых лицами из КНДР эксперт выделила SushiSwap, Thorchain, Fantom, Shib, Yearn, Floki и многие другие проекты. 

Так Монахан отреагировала на сообщение основателя Solana-агрегатора Titan Тима Ахла. Он рассказал, что на предыдущей работе собеседовал человека, впоследствии оказавшегося членом Lazarus Group. 

«Он был крайне квалифицирован и всегда выходил на видеосвязь. Но когда мы позвали его на личную встречу, он отказался прилететь — мы отклонили его кандидатуру. Позже его имя всплыло в утечке Lazarus. Оказалось, что теперь у группировки есть агенты не из Северной Кореи, которые лично втираются в доверие», — поделился Ахл. 

Обсуждения разгорелись на фоне отчета команды Drift Protocol, пострадавшей от взлома на $280 млн. Разработчики заявили, что за атакой стояли хакеры из Северной Кореи. 

Оценка угроз

К дискуссии присоединился блокчейн-детектив ZachXBT, который не раз обращал внимание на угрозу КНДР для криптоиндустрии. По его словам, Lazarus Group — собирательное название всех «киберакторов, поддерживаемых Северной Кореей». 

Lazarus Group is the collective name for all DPRK state sponsored cyber actors.

The main issue is everyone groups them all together when the complexity of threats are different.

Threats via job postings, LinkedIn, email, Zoom, or interviews are basic and in no way… pic.twitter.com/NL8Jck5edN

— ZachXBT (@zachxbt) April 5, 2026

«Главная проблема в том, что все объединяют их в одну группу, хотя сложность угроз у них разная», — отметил он. 

Специалист назвал вакансии, LinkedIn, письма, Zoom и собеседования «простыми и примитивными» схемами. Главное оружие злоумышленников — настойчивость. По его словам, сегодня определить мошенника достаточно просто. 

Единственными группировками, которые совершают сложные атаки, остаются TraderTraitor и AppleJeus. 

Ресурсы для проверки и защиты

OFAC Министерства финансов США ведет специальный сайт, где криптокомпании могут проверять контрагентов по актуальным санкционным спискам и получать предупреждения о типовых схемах мошенничества со стороны IT-специалистов.

Тейлор Монахан также создала на GitHub базу знаний, в которой можно найти основанную на исследованиях информацию о деятельности КНДР в сфере цифровых активов. 

@tayvano_ has built a good resource on GitHub that’s a wealth of knowledge about DPRK using research collected from a variety of sources https://t.co/C9ZoSNVjIU

— ZachXBT (@zachxbt) April 5, 2026

Напомним, в марте группировку Lazarus заподозрили в атаке на криптовалютный интернет-магазин Bitrefill.