Северокорейский хакер заразил свой рабочий ПК тем же стиллером, с помощью которого был взломан Bybit

По иронии судьбы, хакер, связанный с государственными структурами Северной Кореи, стал жертвой того же самого вредоносного ПО, которое использовалось для атак на других.

Этот случайный инцидент позволил специалистам пролить свет на методы работы северокорейских хакеров и установить прямую связь между Lazarus Group (в составе которой работал «заражённый» разработчик) и взломом Bybit в феврале 2025 года.

Аналитики компании Hudson Rock обнаружили в логах одного из стиллеров информацию с одного из компьютеров разработчиков, связанного с инфраструктурой, использовавшейся при взломе Bybit.

На устройстве были найдены учётные данные, в том числе адрес электронной почты, который использовался для регистрации подставного домена, мимикрирующим под Bybit, который и стал одной из точек первоначальной утечки данных. Среди найденного софта на компьютере множество всемирнопопулярных продуктов, таких как Slack, Telegram, а также Dropbox с признаками хранения на нём украденных данных.

Кроме того, обнаружены фейковые установочные файлы Zoom и домены, предназначенные для фишинговых атак и распространения вредоностного ПО.