Radiant Capital утверждает, что за атакой на 50 миллионов долларов в октябре стояли северокорейские хакеры

Протокол DeFi Radiant Capital приписал Эксплуатация на 50 миллионов долларовВ октябре он пострадал от северокорейских хакеров.

По словамотчет опубликован 6 декабря, злоумышленники начали готовить почву для атаки 16 октября в середине сентября, когда разработчику Radiant Capital было отправлено сообщение в Telegram от лица, предположительно доверенного бывшего подрядчика.

В сообщении говорилось, что подрядчик ищет новую возможность карьерного роста, связанную с аудитом смарт-контрактов, и ищет обратную связь. В сообщении содержалась LINK на заархивированный PDF-файл, который разработчик открыл и поделился с другими коллегами.

Теперь считается, что сообщение пришло от «субъекта угроз, связанного с КНДР», который выдавал себя за подрядчика, согласно отчету. Файл содержал вредоносную программу под названием INLETDRIFT, которая устанавливала постоянный бэкдор macOS, одновременно отображая пользователю легитимный на вид PDF-файл.

Radiant Capital заявила, что традиционные проверки и моделирование не выявили очевидных несоответствий, что делает угрозу практически невидимой на обычных этапах проверки.

Получив доступ к компьютерам, хакеры смогли получить контроль над несколькими закрытыми ключами.

LINK с Северной Кореей была выявлена ​​фирмой по кибербезопасности Mandiant, хотя расследование еще не завершено. Mandiant заявила, что, по ее мнению, атака была организована UNC4736, группой, связанной с Генеральным бюро разведки страны. Она также известна как AppleJeus или Citrine Sleet.

Группа была замешана в нескольких других атаках, связанных с Криптовалюта компаниями. Ранее она использовала поддельные сайты Криптo бирж, чтобы обманом заставить людей загрузить вредоносное программное обеспечение через ссылки на вакансии и поддельные кошельки.

Инцидент последовал за более ранней, не связанной с Radiant Capital в январе, в результате которой компания потеряла 4,5 миллиона долларов.