Северокорейских хакеров поймали во время вербовки айтишника: исследователи записали операцию в прямом эфире

Операцию провернули специалисты NorthScan и BCA LTD вместе с платформой ANY.RUN.

Исследователь Хайнер Гарсия притворился американским программистом и откликнулся на предложение работы от северокорейского рекрутера, который использовал имя «Аарон». Схема выглядела как стандартная «аутсорс-вакансия», но её цель была иной.

После интервью у Гарсии запросили все ключевые данные: копии документов, доступ к почте, социальным профилям и круглосуточный доступ к ноутбуку. На этом этапе команда включила ловушку — вместо реального устройства хакерам передали виртуальный «рабочий ноутбук» в среде ANY.RUN, полностью замаскированный под живой персональный компьютер.

Дальнейшее происходящее исследователи снимали на записи. Хакеры подключились через Google Remote Desktop, активировали ИИ-сервисы для автоматического поиска работы, использовали генераторы одноразовых кодов для обхода двухфакторной аутентификации и проводили полную проверку системы. Доступ шёл через VPN Astrill — без вирусов, без эксплойтов, только чистый контроль над «чужим» устройством. В один момент оператор даже оставил текстовый файл с просьбой загрузить банковские реквизиты.

Таким образом был подтверждён механизм, через который северокорейские IT-бригады, связанные с Lazarus Group и Famous Chollima, получают доступ к зарубежным компаниям: они находят жертву, берут её личность взаймы, проходят интервью, а затем используют её ноутбук для работы и заработка на государство КНДР.

Для бизнеса это предупреждение: удалённый найм стал новой точкой входа для идентификационных атак. Попытка «устроиться на работу» может оказаться операцией по захвату доступа к корпоративным системам. Безопасность сегодня всё чаще начинается не в сети компании, а в почтовом ящике её будущих сотрудников.