Разоблачены методы работы северокорейских «IT-специалистов»-самозванцев

Исследование GitLab выявило новейшие методы, используемые в мошеннических схемах с северокорейскими фальшивыми IT-специалистами.

В прошлом году GitLab заблокировала 131 учетную запись, связанную с Северной Кореей, большинство из которых использовали репозитории JavaScript, служившие ресурсами в так называемой кампании Contagious Interview.

В большинстве случаев проекты GitLab использовались как обфусцированные загрузчики для вредоносных полезных нагрузок — таких как BeaverTail и Ottercookie — размещенных за пределами платформы репозиториев кода.

Contagious Interview

Кампания Contagious Interview связана с тем, что северокорейские злоумышленники выдают себя за рекрутеров или менеджеров по найму, чтобы обманом заставить разработчиков программного обеспечения выполнять вредоносные проекты кода под видом технических собеседований.

Операторы обычно использовали потребительские VPN при взаимодействии с GitLab, однако иногда они направляли свой доступ через выделенные инфраструктуры виртуальных частных серверов (VPS) или фермы ноутбуков.

GitLab пресекла эти операции, заблокировав подозрительные репозитории.

Оппортунистический и широкий охват

Эти подозрительные хранилища кода использовались в различных незаконных проектах, разделенных на нацеливание на ищущих работу программистов и операции с фальшивыми IT-специалистами.

«Судя по нашей видимости, операции с вредоносным ПО, нацеленные на отдельных разработчиков, ищущих работу, являются наиболее распространенными», — сообщил CSO Оливер Смит, старший инженер по анализу угроз в GitLab. «Злоумышленники, по-видимому, предпочитают разработчиков из США и финтех-сектор, но действуют оппортунистически и нацеливаются широко».

Смит продолжил: «В операциях с фальшивыми IT-специалистами злоумышленники часто устраиваются на работу в небольшие организации, ищущие контрактных разработчиков программного обеспечения, особенно через фриланс-платформы».

Более крупные организации также становятся мишенью продолжающихся мошеннических схем, которые начались всерьез в 2022 году, а первые случаи были зафиксированы еще в 2019 году.

Эволюция методов

В прошлом году методы мошенников эволюционировали за счет использования вредоносных зависимостей пакетов NPM, обнаружения песочниц и растущей зависимости от частных проектов, доступных только по приглашениям.

Северокорейские акторы также стали больше полагаться на технологии ИИ для разработки пользовательских обфускаторов и автоматизации создания синтетических личностей, которые используются для генерации профессиональных связей и контактных данных в больших масштабах, — объясняет GitLab в техническом блоге.

Один IT-специалист контролировал 21 уникальную персону, созданную путем добавления своего изображения к украденным сканам удостоверений личности США.

Некоторые из заблокированных репозиториев содержали личные дела, сканы паспортов, банковские выписки из нескольких китайских банков и структурированные таблицы квартальной отчетности об эффективности.

Внутри «котельной» фальшивых IT-специалистов

GitLab объясняет, как один репозиторий раскрывает подробные финансовые и кадровые записи одной, предположительно базирующейся в Пекине, северокорейской ячейки IT-специалистов, заработавшей более 1,64 миллиона долларов в период с 1 квартала 2022 года по 3 квартал 2025 года.

Восемь граждан Северной Кореи из этой ячейки получали доход за счет фриланса в области веб- и мобильной разработки программного обеспечения, действуя под вымышленными именами.

По собственным данным группы, доходы снизились в прошлом году, но в 3 квартале 2025 года все равно превысили 11 тысяч долларов на каждого участника.

Частный проект также содержал отчеты об эффективности для членов ячейки, датированные 2020 годом. Эти отчеты об эффективности включали комментарии о заработке и развитии навыков участников, а также замечания о вкладе в выполнение домашних обязанностей среди физически находящихся вместе членов команды — включая стирку, стрижку и покупку общих продуктов питания и напитков, — а также оценку «межличностных ценностей и приверженности партийным ценностям».

Другой частный репозиторий кода использовался северокорейским фальшивым IT-специалистом, предположительно работавшим из центра Москвы. «Злоумышленник был сосредоточен на культивировании небольшой группы более детализированных персон и перешел от фриланса к штатной работе», — сообщает GitLab.

GitLab заключает, что несколько команд КНДР действуют параллельно с ограниченной координацией, но используют схожие методы.

Использование доверия в качестве оружия

Дрей Ага, старший менеджер по операциям безопасности в Huntress, заявил, что фирма, предоставляющая услуги управляемого обнаружения и реагирования, наблюдала схожие методы на протяжении 2025 и начала 2026 года.

«Северокорейские злоумышленники используют доверие, присущее процессу найма в сфере технологий, обманывая разработчиков, заставляя их выполнять вредоносные полезные нагрузки под видом технических оценок», — сказал Ага. «Нацеливаясь на разработчиков с высокими привилегиями в прибыльных секторах, таких как криптовалюта и финансы, эти акторы эффективно обходят традиционные периметровые средства защиты для немедленного закрепления позиций».

Злоумышленники из КНДР осваивают генеративный ИИ для масштабирования своих операций.

«От использования инструментов ИИ для улучшения обфускации вредоносного ПО и обхода мер безопасности до автоматизации создания синтетических персон — северокорейские группы быстро модернизируют свои методы», — отметил Ага. «Это демонстрирует, что ИИ активно снижает порог для злоумышленников, позволяя им проводить убедительные крупномасштабные дезинформационные кампании».

Ханна Баумгартнер, руководитель отдела исследований в Silobreaker, отметила, что общие методы, используемые северокорейскими группами фальшивых IT-специалистов, в целом остались схожими, хотя «за последний год наблюдается увеличение использования ИИ и других методов заражения, таких как ClickFix».

«Типы платформ, используемых в рамках этой схемы, также, по-видимому, расширяются: Visual Studio Code теперь также часто используется для первоначального доступа», — добавила Баумгартнер.

Мошенничество с северокорейскими фальшивыми IT-специалистами является проблемой для всей отрасли. GitLab надеется, что ее подробное исследование, включающее более 600 индикаторов компрометации, связанных с тематическими исследованиями, представленными в ходе исследования, поможет укрепить защиту во всей отрасли.

«Мы надеемся, что наш отчет поможет всей отрасли укрепить защиту и будет способствовать большей прозрачности в отношении тактики и операций этих злоумышленников», — заключил Смит из GitLab.

Обзор множества тактик, применяемых в мошеннических схемах с северокорейскими фальшивыми IT-специалистами, а также советы по их предотвращению можно найти в более раннем материале CSO по этой проблеме.