northkoreahackers

В мире кибербезопасности имя ZachXBT стало синонимом расследований и разоблачений. Этот независимый исследователь блокчейна, известный своими глубокими анализами крипто-мошенничеств, недавно выступил с критикой популярного мифа о "гениальности" хакеров из Северной Кореи. В своем последнем посте в Twitter (ныне X) ZachXBT подчеркнул, что эти киберпреступники, связанные с группами вроде Lazarus, далеко не те "технические гении", за которых их считают.
По словам эксперта, многие атаки приписываемые северокорейским хакерам, на самом деле полагаются на простые уловки: фишинг, социальную инженерию и эксплуатацию известных уязвимостей, а не на передовые технологии. "Это не гениальность, а упорный труд и государственная поддержка", — отметил ZachXBT, ссылаясь на недавние случаи краж криптовалюты на миллиарды долларов. Он привел примеры, где "хакеры" использовали базовые инструменты, доступные любому, и подчеркивает, что миф о их превосходстве маскирует реальные угрозы и отвлекает от улучшения защитных мер.
Эта критика timely, учитывая растущие атаки на крипто-биржи. ZachXBT призывает сообщество фокусироваться на фактах, а не на мифах, чтобы эффективно бороться с угрозами. Его анализ подчеркивает: настоящая "гениальность" — в профилактике, а не в преувеличении врага.
#CryptoSecurity #zachxbt #NorthKoreaHackers #BlockchainAnalysis #CyberThreats #CryptoNews
Подпишитесь на #MiningUpdates для свежих обновлений о майнинге и кибербезопасности!

🔹 Fake Zoom meeting invites and update links deceive Web3 teams

🔹 New NimDoor malware infiltrates macOS with advanced evasion techniques

🔹 Attackers steal browser data, passwords, and Telegram chats

Web3 and Crypto Companies Under Siege by NimDoor Malware
Security experts at SentinelLabs have uncovered a sophisticated malware campaign targeting Web3 startups and cryptocurrency firms. The attacks, linked to North Korean groups, use a combination of social engineering and technical stealth to deploy NimDoor malware, written in the rarely used Nim programming language to bypass antivirus detection.

The Setup: Fake Zoom Meetings Through Telegram
Hackers initiate contact via Telegram, posing as known contacts. They invite victims to schedule meetings via Calendly, then send them links to what appear to be Zoom software updates. These links lead to fake domains like support.us05web-zoom.cloud, mimicking Zoom's legitimate URLs and hosting malicious installation files.
These files contain thousands of lines of whitespace, making them appear "legitimately large." Hidden within are only three crucial lines of code, which download and execute the real attack payload.

NimDoor Malware: Spyware Specifically Targeting macOS
Once executed, the NimDoor malware operates in two main phases:
🔹 Data extraction – stealing saved passwords, browsing histories, and login credentials from popular browsers like Chrome, Firefox, Brave, Edge, and Arc.

🔹 System persistence – maintaining long-term access through stealth background processes and disguised system files.
A key component specifically targets Telegram, stealing encrypted chat databases and decryption keys, giving attackers access to private conversations offline.

Built to Survive: Evasion and Reinstallation Techniques
NimDoor employs a range of advanced persistence mechanisms:
🔹 Automatically reinstalls itself if users try to terminate or delete it

🔹 Creates hidden files and folders that look like legitimate macOS system components

🔹 Connects to the attacker’s server every 30 seconds for instructions, disguised as normal internet traffic

🔹 Delays execution for 10 minutes to avoid early detection by security software

Difficult to Remove Without Professional Tools
Because of these techniques, NimDoor is extremely hard to remove with standard tools. Specialized security software or professional intervention is often required to clean infected systems completely.

Conclusion: Modern Cyberattacks Now Look Like Calendar Invites
Attacks like NimDoor prove how cleverly North Korean groups mimic daily workflows to penetrate even cautious targets. Fake Zoom links and innocent-looking updates can lead to full system compromise.
Users should never download updates from unofficial sources, always verify domain names, and stay vigilant against unexpected software prompts or invitations.

#CyberSecurity , #NorthKoreaHackers , #Web3Security , #CryptoNews , #Hack

Stay one step ahead – follow our profile and stay informed about everything important in the world of cryptocurrencies!
Notice:
,,The information and views presented in this article are intended solely for educational purposes and should not be taken as investment advice in any situation. The content of these pages should not be regarded as financial, investment, or any other form of advice. We caution that investing in cryptocurrencies can be risky and may lead to financial losses.“

Північнокорейські хакери встановили новий рекорд, викравши понад $2 мільярди у криптовалюті лише за 2025 рік, що перевищує попередні показники втричі. За даними аналітичної фірми Elliptic, це найбільший річний обсяг крадіжок в історії, з трьома місяцями до кінця року. Основний внесок — хак біржі Bybit у лютому, коли злодії вкрали $1,46 млрд, один з найбільших інцидентів у криптосекторі.
З 2017 року загальний обсяг вкрадених активів Північною Кореєю перевищив $6 млрд, які, за оцінками ООН, фінансують ядерну програму режиму Кім Чен Ина. Цьогорічний сплеск пояснюється переходом від технічних вразливостей до соціальної інженерії: хакери з груп на кшталт Lazarus обманюють співробітників бірж фішингом, фальшивими пропозиціями роботи чи зламаними соцмережами. "Слабке місце в безпеці криптовалют — тепер людина, а не технології", — зазначають аналітики.
Крім Bybit, жертвами стали LND.fi, WOO X, Seedify та BitoPro, з втратами від $11 млн до $100 млн на одного користувача. Elliptic приписує понад 30 атак Північній Кореї, включаючи цілі на багатих власників гаманців, які часто ігнорують корпоративні заходи безпеки. Chainalysis оцінює втрати в $2,17 млрд, підкреслюючи, що північнокорейські операції становлять значну частку від загальних $2,2 млрд крадіжок у 2025 році.
Ці кібератаки підривають довіру до крипторинку, особливо на тлі відновлення цін. Західні агенції закликають до посилення міжнародної співпраці: відстеження через блокчейн, заморожування активів у міксерах та DeFi. Фінтех-компанії, як Elliptic, допомагають правоохоронцям блокувати відмивання. Проте хакери адаптуються, використовуючи нові методи, що робить криптобезпеку пріоритетом для інвесторів і регуляторів.
#NorthKoreaHackers #CryptoThefts #LazarusGroup #BlockchainSecurity #Cybercrime #CryptoNews #2025Hacks

Підписуйтесь на #MiningUpdates , щоб бути в курсі новин про криптовидобуток, регулювання та ринкові тренди!

A sobering new report reveals a critical threat to the blockchain industry. In less than two years, North Korean state-sponsored hackers have stolen nearly $3 billion in digital assets. This illicit activity now represents a core part of their national strategy, accounting for an astonishing one-third of the nation's foreign currency revenue.
​This market update confirms the attacks are systematic and sophisticated. These groups are actively targeting all corners of Web3, from DeFi protocols to trading platforms and cross-chain bridges. This poses a persistent, well-funded risk to the entire crypto ecosystem and the security of digital assets.
​We urge all users to prioritize their cybersecurity. Implement strong 2FA (Authenticator App or YubiKey, not SMS), stay vigilant against phishing attempts, and interact only with thoroughly audited platforms. Protecting your assets is essential to navigating the DeFi and blockchain space safely.
#DEFİ #NorthKoreaHackers #CryptoHack

🔍 Detalles de lo que han detectado


Según el equipo de inteligencia de amenazas de Google Threat Intelligence Group (GTIG), se observó que UNC5342 desde febrero 2025 inició campañas donde usan EtherHiding para almacenar “payloads” maliciosos cifrados dentro de contratos inteligentes o transacciones en Ethereum/BNB.
En ese modus operandi:

Los atacantes crean “ofertas de empleo” falsas, contactan desarrolladores o personas en el espacio blockchain vía LinkedIn u otras plataformas.
Las víctimas se descargan archivos como si fuera parte de una prueba técnica o entrevista; esos archivos contienen “loaders” maliciosos que al ejecutarse consultan un contrato inteligente que entrega el siguiente paso malicioso.
El código no acosa directamente la blockchain en sí para ser “virus en cada nodo”, sino que usa la blockchain como infraestructura de “comando y control” (C2) para ordenar o entregar payloads a los sistemas infectados.
Un artículo indica que se trata de “la primera vez que se observa un actor estatal usando esta técnica de EtherHiding” sobre blockchain público.

#Hacker , #NorthKoreaHackers

⚙️ ¿Qué significa esto para el ecosistema cripto?


✅ Aspectos preocupantes / implicaciones



Que el malware use blockchain pública para almacenar instrucciones significa que la infraestructura es muy difícil de derribar o censurar, ya que los contratos inteligentes no se eliminan fácilmente y los datos almacenados quedan inmutables. Esto podría complicar acciones de mitigación.
El hecho de que los objetivos sean desarrolladores de Web3, personas del ecosistema blockchain y que el vector sea “oferta de trabajo / entrevista técnica” sugiere que los actores buscan penetrar dentro del ecosistema cripto mismo, lo que plantea riesgo para proyectos, exchanges, wallets, etc.
Para usuarios comunes de cripto: la amenaza no es que su wallet normal “sea hackeada por la blockchain” per se, sino que podrían caer en engaños (phishing, descargas maliciosas) que luego aprovechan la infraestructura blockchain para profundizar el ataque.
Este tipo de informe puede afectar el sentimiento de seguridad en el ecosistema, lo que podría tener efectos indirectos en flujo de capital, confianza en proyectos nuevos, etc.


⚠️ Aspectos que no se deben malinterpretar



No significa que la blockchain de Ethereum esté “infectada” en todos los nodos o que cada transacción sea peligrosa; es un caso de uso malicioso de la infraestructura de blockchain como medio, no necesariamente que toda interacción sea insegura.
La técnica requiere que la víctima haga algo: ejecutar un archivo malicioso, seguir un enlace, instalar algo. Así que sigue siendo un vector de ingeniería social, no un “hack automático” de la red blockchain para todos los usuarios.
Aunque es una técnica avanzada y preocupante, no necesariamente implica que todos los proyectos que dicen “blockchain compatible” estén comprometidos o que haya una caída inminente de cripto. Es un riesgo adicional que hay que vigilar.



🔮 Esta noticia es importante para el ecosistema cripto por lo que revela sobre evolución de amenazas y sofisticación de actores estatales.


Tener altísima precaución con ofertas de trabajo, enlaces, descargas relacionadas con cripto. Especialmente si involucran “pruebas técnicas” o “desarrollo Web3” y te piden instalar algo localmente.
Asegurarse de usar wallets seguras, evitar software desconocido, y mantener prácticas de seguridad robustas (autenticación, revisión del código que se instala, etc.).
Para proyectos o plataformas, prestar atención al hecho de que la blockchain puede estar participando en la infraestructura del ataque, lo cual requiere que evalúen seguridad más allá del contrato inteligente, también el client side, la interfaz de usuario, la forma de onboarding, etc.



$ETH

🦹 Схоже, коли світові трейдери змагаються, хто зловить наступний “x100”, десь у Пхеньяні сидять люди, які вже знайшли свій гарантований прибуток. За даними аналітичної компанії Elliptic, у 2025 році хакери, пов’язані з Північною Кореєю, вкрали понад $2 млрд у криптоактивах. Це — новий історичний рекорд.
Попередній максимум належав 2022-му: тоді загальні втрати становили близько $1,35 млрд. Якщо скласти все, що підтверджено з 2017 року, отримаємо принаймні $6 млрд. Але експерти одразу попереджають: це лише те, що вдалося виявити. Реальні цифри, імовірно, більші.
💣 Рекордний рік крадіжок
Найгучніша атака сталася у лютому цього року — з криптобіржі Bybit було викрадено близько $1,46 млрд. Це найбільша одиночна крадіжка за всю історію крипторинку.
Американські слідчі офіційно пов’язують інцидент із Lazarus Group, хакерським підрозділом, який діє під егідою північнокорейського режиму.
На цьому список не закінчується. У минулі роки “під ніж” уже потрапляли:
🎮 Axie Infinity — $625 млн (2022);🌉 Harmony One Bridge — $100 млн (2022);💱 WazirX — $235 млн (2024).
І якщо раніше більшість атак проводили через технічні вразливості у смартконтрактах, то 2025-й став роком соціальної інженерії.
🧠 Соціальна інженерія — найсмертоносніша зброя
Хакери все частіше обирають не комп’ютери, а людей. Фальшиві рекрутери, “журналісти”, фішингові листи, запити на інтерв’ю, підроблені пропозиції співпраці — усе це стало новим фронтом війни за доступ до приватних ключів.
Багато атак починаються з простого листа в LinkedIn або X. Людина відкриває документ, що виглядає як “brief.docx”, і за кілька хвилин її ноутбук перетворюється на трофей для Lazarus.
Іронія в тому, що більшість таких атак не вимагають блискучих технічних навичок — лише розуміння людської довіри.
🧩 Як “вкрадені токени” перетворюються на ядерне паливо
ООН неодноразово заявляла: криптовалюта, викрадена Північною Кореєю, ймовірно, використовується для фінансування її ядерної програми.
Тобто кожен токен, який потрапляє в руки Lazarus, потенційно може закінчити свій шлях у вигляді балістичної ракети.
Для “відмивання” таких коштів зазвичай застосовуються міксери, децентралізовані біржі, каскадні свопи та міжланцюгові бриджі.
І хоча аналітичні компанії давно навчилися відстежувати ці рухи, 100% контроль — поки що міф.
🧭 Уроки для спільноти Web3
Безпека починається з голови. Ніхто не зламає вашу seed-фразу, якщо ви її не зіллєте самі.Перевіряйте всі запити. Навіть якщо це “представник Binance” чи “журналіст Forbes”, завжди верифікуйте особу.Оновлюйте апаратні гаманці. Старі моделі Ledger чи Trezor можуть мати вразливості.Використовуйте багаторівневий захист. Seed окремо, ключі окремо, холодні гаманці — обов’язково.Не легковажте фішингом. Одне натискання на файл — і у вас нові “інвестори” з Пхеньяну.
🧠 І трохи філософії
У світі Web3 ми часто говоримо про “децентралізацію довіри”. Але поки довіра — це люди, а не код, найбільша вразливість залишатиметься людською.
І саме тому навіть найпросунутіші блокчейн-технології не замінять критичного мислення.
💬 Як ви вважаєте — чи повинні біржі активніше блокувати підозрілі адреси, навіть якщо це суперечить духу децентралізації?
Пишіть у коментарях — обговоримо, де проходить межа між свободою і безпекою. І не забувайте підписатися на мене, бо попереду ще багато цікавинок!
#CryptoSecurity #Elliptic #Lazarus #NorthKoreaHackers #Web3

У листопаді 2025 року одна з найбільших криптовалютних бірж Південної Кореї, Upbit, стала жертвою масштабного кібератаки. Хакери викрали криптовалюту на суму близько 45 мільярдів вон (приблизно 30 мільйонів доларів США), переважно в токенах на базі Solana. Це вже не перший інцидент для платформи: у 2019 році злочинці вкрали 42 мільйони доларів в Ethereum, і тоді також підозрювали північнокорейських хакерів.

Південнокорейські правоохоронці швидко відреагували, розпочавши розслідування систем Upbit. Під підозрою опинилася відома група Lazarus, спонсорована державою Північної Кореї. Експерти зазначають, що хакери використовували складні методи, такі як "стрибки" між гаманцями для маскування слідів, типові для Lazarus. За даними звіту, з 2017 року північнокорейські кіберзлочинці вкрали понад 2 мільярди доларів у криптовалюті, фінансуючи ядерну програму режиму.

Цей інцидент підкреслює вразливість крипторинку до державних хакерських груп. Upbit тимчасово призупинила виведення коштів, а регулятори посилили перевірки. Експерти радять користувачам посилювати безпеку: двофакторну автентифікацію та апаратні гаманці. Подібні атаки можуть знизити довіру до бірж, але також стимулюють інновації в кібербезпеці.

Щоб не пропустити оновлення про майнінг та криптобезпеку, підпишіться на #MiningUpdates !

#UpbitHack #LazarusGroup #CryptoThefts #NorthKoreaHackers #CyberSecurity #SolanaBreach #CryptoNews

North Korean hacking groups have once again demonstrated how dangerously sophisticated they can be. This time, they’ve set their sights on crypto developers — posing as legitimate U.S.-based companies with one goal: to infect victims’ systems with malware.

🎭 Two Fake Companies. One Malicious Scheme.
Cybersecurity firm Silent Push has revealed that North Korean hackers created two LLCs — Blocknovas LLC in New Mexico and Softglide LLC in New York — pretending to be recruiters in the crypto industry. These companies sent “job offers” that contained malicious code. The notorious Lazarus Group, linked to North Korea’s intelligence services, is believed to be behind the operation.
A third entity, Angeloper Agency, showed the same digital fingerprint, though it wasn’t officially registered.

🧠 Malware That Steals Crypto Wallets
Once unsuspecting developers opened the infected files, the malware began harvesting login credentials, wallet keys, and other sensitive data. According to Silent Push’s report, multiple victims have already been identified — most linked to the Blocknovas domain, which was by far the most active.
The FBI has seized the domain and issued a warning that similar aliases may reappear soon.

💸 Covert Funding for North Korea’s Missile Program
According to U.S. officials, the ultimate goal of the scheme is simple: generate hard currency to fund North Korea’s nuclear weapons program. Intelligence sources say Pyongyang has been deploying thousands of IT operatives abroad to illegally raise funds through fraudulent schemes.
This case is especially troubling because it shows that North Korean hackers managed to set up legal companies inside the United States, a rare and alarming development.

🔐 Three Malware Families, One Lazarus Signature
Analysts found that the job files contained at least three known malware families, capable of opening backdoors, downloading additional malicious payloads, and stealing sensitive information. These tactics align closely with past attacks by the Lazarus Group.

⚠️ FBI Warning: Be Cautious of "Too Good to Be True" Job Offers
Federal agents emphasize that this case is a chilling reminder of how North Korea continues to evolve its cyber threats. Tech and cybersecurity professionals should thoroughly vet unsolicited job offers, especially those from unfamiliar companies. Developers infected by these schemes could lose cryptocurrency or unknowingly grant hackers access to larger systems and exchanges.

#HackerAlert , #CyberSecurity , #NorthKoreaHackers , #CryptoSecurity , #CryptoNewss

Stay one step ahead – follow our profile and stay informed about everything important in the world of cryptocurrencies!
Notice:
,,The information and views presented in this article are intended solely for educational purposes and should not be taken as investment advice in any situation. The content of these pages should not be regarded as financial, investment, or any other form of advice. We caution that investing in cryptocurrencies can be risky and may lead to financial losses.“