Хакеры КНДР украли $12 млн в крипте через ИИ, взлом Bitwarden и аресты коллекторов

Северокорейские хакеры и ИИ-технологии

За последние три месяца хакерская группировка HexagonalRodent, предположительно связанная с Северной Кореей, осуществила масштабные кибератаки, в результате которых было похищено около 12 миллионов долларов США в криптовалюте. Целью злоумышленников стали более 2000 компьютеров разработчиков Web3-проектов. Основной задачей хакеров был сбор учетных данных и получение доступа к криптокошелькам жертв. Об этом сообщил эксперт по кибербезопасности Маркус Хатчинс из компании Expel.

Особенностью этих атак стало активное использование искусственного интеллекта. Хакеры применяли так называемый «вайб-кодинг» — генерацию вредоносного программного обеспечения и инфраструктуры на основе текстовых запросов к нейросетям. Они использовали ИИ-инструменты веб-дизайна от Anima для создания фишинговых сайтов несуществующих IT-компаний. Жертв заманивали поддельными вакансиями, предлагая выполнить «тестовое задание», которое на самом деле содержало вредоносный код. Весь процесс, включая написание кода и переписку на безупречном английском языке, генерировался с помощью ChatGPT и Cursor.

Маркус Хатчинс, анализируя инфраструктуру хакеров, обнаружил, что они по неосторожности оставили открытыми свои промпты и базу данных с кошельками жертв. Эксперт отметил, что вредоносный код содержал комментарии на английском языке и эмодзи, что является явным признаком его генерации большими языковыми моделями (LLM). По мнению Хатчинса, в 2026 году Пхеньян совершил значительный скачок в использовании ИИ для автоматизации всех этапов кибератак, что позволило превратить низкоквалифицированных операторов в серьезную киберугрозу.

Деятельность HexagonalRodent вписывается в глобальную стратегию КНДР по автоматизации преступлений. Отчеты других технологических гигантов подтверждают это: Microsoft заявляла, что северокорейские операторы используют ИИ для создания фальшивых документов, поиска уязвимостей и проведения социальной инженерии. Anthropic, в свою очередь, пресекла попытки агентов КНДР использовать свою модель Claude для доработки вирусов. Представители OpenAI, Cursor и Anima подтвердили факты злоупотребления их сервисами, заблокировали связанные с хакерами аккаунты и начали расследования для предотвращения подобных инцидентов в будущем.

Компрометация Bitwarden и другие инциденты

22 апреля 2026 года произошла компрометация официального npm-пакета интерфейса командной строки (CLI) менеджера паролей Bitwarden версии 2026.4.0. В репозитории была обнаружена вредоносная версия, предназначенная для кражи учетных данных разработчиков. Несколько компаний в сфере кибербезопасности провели анализ инцидента:

• Эксперты JFrog установили, что пакет использовал кастомный загрузчик bw_setup.js для скрытного запуска шпионского скрипта, который собирал токены npm и GitHub, SSH-ключи, а также доступы от AWS, Azure и Google Cloud.
• Специалисты OX Security обнаружили, что украденные зашифрованные данные выгружались путем автоматического создания публичных репозиториев на GitHub жертвы. Эти репозитории помечались строкой «Shai-Hulud: The Third Coming», а вирус обладал способностью к самораспространению.
• Компания Socket подтвердила, что целью вируса была инфраструктура CI/CD, и установила техническую связь этого инцидента с недавней компрометацией цепочки поставок компании Checkmarx.

Атаку приписывают хакерской группировке TeamPCP, которая ранее уже проводила масштабные кампании против разработчиков проектов Trivy и LiteLLM. Эксперты настоятельно рекомендовали разработчикам, взаимодействовавшим с затронутым CLI, немедленно сменить все ключи и токены. Bitwarden оперативно удалила зараженную версию в течение полутора часов после обнаружения атаки и подтвердила сохранность пользовательских хранилищ и паролей.

В другом инциденте, Apple выпустила исправление безопасности после того, как ФБР получило доступ к содержимому уведомлений мессенджера Signal через iOS, даже после удаления приложения. Signal подтвердил, что после установки обновления все непреднамеренно сохраненные уведомления будут удалены, а новые сохраняться не будут.

Британская разведка о шпионском ПО и арест криптоколлекторов

Британская разведка сообщила, что более половины правительств мира имеют доступ к коммерческому шпионскому программному обеспечению, способному взламывать устройства и похищать конфиденциальную информацию. По данным Politico, барьер для доступа к таким технологиям слежки снизился, а число стран, владеющих подобными инструментами, выросло до 100, по сравнению с 80 в 2023 году. Коммерческое шпионское ПО, такое как Pegasus от NSO Group, часто использует уязвимости в мобильных и компьютерных системах. Хотя правительства заявляют, что эти инструменты применяются только к подозреваемым в особо опасных преступлениях, британская разведка отмечает, что «круг жертв» расширился от политических оппонентов и журналистов до банкиров и состоятельных бизнесменов. В США, например, ICE активно использует израильское ПО Graphite для борьбы с террористическими организациями и торговцами фентанилом, позволяя получать доступ к сообщениям без взаимодействия с устройством.

В Киеве правоохранители задержали группу мошенников, которые вымогали криптовалюту, используя ботофермы. Злоумышленники предоставляли займы в криптовалюте через площадки Bitcapital и Crypsee. В случае невозврата или даже при своевременном погашении, они выдумывали несуществующие долги и подвергали должников и их близких травле. Для этого использовались ботофермы с 6000 SIM-карт, генерирующие оскорбительный контент и угрозы. Ущерб от их деятельности превысил 5 миллионов гривен (около 113 000 долларов США). Подозреваемым грозит до 12 лет тюрьмы.

Что это значит для майнеров и инвесторов из РФ/СНГ

Для майнеров и инвесторов из России и СНГ эти новости подчеркивают критическую важность кибербезопасности. Атаки северокорейских хакеров, использующих ИИ, демонстрируют возрастающую изощренность методов фишинга и социальной инженерии. Разработчикам, особенно работающим с Web3-проектами, необходимо быть предельно осторожными при взаимодействии с незнакомыми файлами, вакансиями и ссылками. Компрометация Bitwarden CLI служит напоминанием о необходимости регулярной проверки целостности используемых пакетов и немедленной смены всех ключей и токенов в случае подозрения на взлом. Использование коммерческого шпионского ПО правительствами подчеркивает общую уязвимость цифровых данных, что требует от пользователей криптовалют повышенного внимания к безопасности своих устройств и конфиденциальности информации. Инциденты с криптоколлекторами в Киеве показывают, что мошенники активно используют криптовалюту в своих схемах, поэтому важно тщательно проверять условия займов и избегать сомнительных платформ. В целом, усиление киберугроз требует от всех участников крипторынка постоянного повышения уровня цифровой гигиены и использования надежных средств защиты.