Как фишинг и сертификат из Южной Кореи помогли хакерской группировке из КНДР украсть $36 млн у Humanity Protocol

Кибератака на компанию Humanity Protocol, в результате которой было похищено $36 млн в токенах Humanity (H), стала ещё одним подтверждением растущей изощрённости северокорейских хакерских групп. По данным компании Quantstamp, занимающейся аудитом блокчейнов, атака началась с фишингового письма, замаскированного под уведомление от южнокорейской биржи Bithumb. В письме содержалась вредоносная прикреплённая инструкция по блокировке токенов, которая при открытии устанавливала шпионское ПО на устройство одного из сотрудников Humanity Protocol. Это позволило злоумышленникам получить удалённый доступ к ноутбуку, а затем похитить криптовалютные кошельки компании, включая личные данные директора Чонг Йи Вай.

Вредоносное ПО было подписано цифровым сертификатом южнокорейской компании Hancom, что, по мнению экспертов Quantstamp, является характерным признаком атак, связанных с КНДР. Использование легитимных сертификатов из Южной Кореи — один из излюбленных методов северокорейских хакеров, так как это помогает обойти системы защиты, доверяющие местным издателям. Атака продемонстрировала, как киберпреступники комбинируют социальную инженерию с техниками скрытого проникновения для достижения максимального эффекта.

Северокорейские хакеры: от фишинга до индустриализации краж

Северокорейские кибергруппировки давно превратили кражу криптовалюты в один из основных источников дохода для режима. Согласно отчёту CertiK за май 2025 года, за последние годы они похитили около $2 млрд из $3,4 млрд, потерянных в результате взломов блокчейнов. В апреле 2026 года на их долю пришлось $578 млн из $634 млн украденных средств. Эти цифры не случайны — атаки носят целенаправленный и масштабный характер, что говорит о высокой степени организации и ресурсной поддержке со стороны государства.

Humanity Protocol стал ещё одной жертвой в череде атак, где хакеры используют фишинговые схемы с поддельными документами от известных криптовалютных платформ. В данном случае злоумышленники подменили уведомление от биржи Bithumb, что позволило им проникнуть в корпоративную сеть и получить доступ к критически важным данным. Использование сертификата Hancom — не единственный тревожный сигнал. Эксперты отмечают, что северокорейские группы активно совершенствуют тактики, включая вербовку фейковых IT-специалистов, как сообщалось ранее.

Как был реализован взлом: от письма до кражи токенов

Атака на Humanity Protocol началась с классического фишингового письма, которое внешне выглядело как официальное уведомление от Bithumb. В нём содержалась инструкция по блокировке токенов, якобы выпущенная для предотвращения несанкционированных транзакций. Однако вместо документа сотрудники получили вредоносный файл, который установил на ноутбук удалённый доступ к системе. Это позволило хакерам не только следить за действиями пользователя, но и похитить данные MetaMask, включая закрытые ключи и адреса кошельков.

Похищенные учётные данные дали злоумышленникам возможность получить контроль над криптовалютными кошельками Humanity Protocol. В частности, были украдены токены Humanity (H), что привело к убыткам в $36 млн. Эксперты Quantstamp подчеркнули, что атака стала возможной из-за компрометации одного из устройств компании, что ещё раз напоминает о важности защиты корпоративных сетей и обучения сотрудников основам кибербезопасности.

Цифровые сертификаты как инструмент обхода защиты

Одним из ключевых элементов атаки стал цифровой сертификат южнокорейской компании Hancom, использованный для подписи вредоносного ПО. Это не случайность — северокорейские хакеры часто используют сертификаты из Южной Кореи, так как они вызывают доверие у систем защиты, доверяющих местным издателям. Подобные тактики позволяют злоумышленникам оставаться незамеченными на ранних стадиях атаки и обходить стандартные механизмы проверки подлинности.

Использование легитимных сертификатов — лишь один из элементов более масштабной стратегии. Северокорейские группы активно внедряют продвинутые техники социальной инженерии, включая подмену документов от известных компаний и создание фейковых профилей специалистов. Это делает их атаки особенно опасными, так как они маскируются под легитимные процессы и обманывают даже опытных сотрудников.

Масштабы угрозы: почему криптовалютные атаки стали основным доходом КНДР

По данным CertiK, за последнее десятилетие северокорейские хакеры похитили около $6,75 млрд в криптовалюте, совершив 263 documented атаки. Эти цифры делают кражу криптовалюты одним из основных источников финансирования режима, наравне с торговлей оружием и санкционными обходами. Государство активно инвестирует в развитие кибервойск, превращая их в полноценное подразделение армии.

Атаки носят не только финансовый, но и стратегический характер. Северная Корея использует украденные средства для финансирования ядерной программы и обхода международных санкций. В 2025–2026 годах эксперты зафиксировали рост числа атак, направленных на DeFi-протоколы, биржи и компании, работающие с цифровыми активами. Это связано с тем, что криптовалюта стала более доступной и менее отслеживаемой, чем традиционные финансовые инструменты.

Уроки для компаний: как защитить криптовалютные активы

Инцидент с Humanity Protocol подчёркивает необходимость комплексного подхода к кибербезопасности, особенно для компаний, работающих с криптовалютой. Во-первых, важно внедрить многофакторную аутентификацию (MFA) для всех корпоративных аккаунтов, включая кошельки и биржи. Во-вторых, необходимо обучать сотрудников распознавать фишинговые письма и не открывать подозрительные вложения, даже если они выглядят легитимными.

Также стоит рассмотреть возможность использования аппаратных кошельков (hardware wallets) для хранения крупных сумм, так как они менее уязвимы к удалённым атакам. Компании должны регулярно проводить аудит безопасности и обновлять программное обеспечение, чтобы минимизировать риск компрометации. Наконец, важно иметь план реагирования на инциденты, который позволит быстро локализовать угрозу и восстановить контроль над активами.

Что ждёт криптовалютную индустрию в ближайшие годы

Рост числа атак со стороны северокорейских хакеров заставляет индустрию задуматься о новых методах защиты. В ближайшие годы можно ожидать ужесточения регулирования в области кибербезопасности, особенно для компаний, работающих с цифровыми активами. Возможно, появятся специализированные инструменты для мониторинга подозрительных транзакций и блокировки украденных средств.

Также стоит ожидать развития децентрализованных систем идентификации, которые помогут снизить риск фишинговых атак. Технологии вроде Soulbound Tokens (SBT) или улучшенные механизмы верификации могут стать стандартом для подтверждения личности пользователей в криптовалютных экосистемах. В то же время хакеры будут совершенствовать свои методы, поэтому компаниям необходимо оставаться на шаг впереди, инвестируя в обучение и современные средства защиты.