Coreia do Norte em roubo de US$ 308M em crypto

A bolsa de criptomoedas japonesa DMM foi roubada em US$ 308 milhões em bitcoins no início deste ano por meio de um falso recrutador no LinkedIn, segundo relatório do FBI e da polícia japonesa (pdf). Um funcionário da Ginco, empresa à qual a exchange de criptomoedas DMM confiou o sistema de gerenciamento de carteira, foi abordado via LinkedIn por alguém se passando por recrutador.

Leia também
Hackers financiam programa nuclear da Coreia do Norte
Coreia do Norte sofisticou a lavagem de criptomoedas

Esse “recrutador” abordou o funcionário da Ginko com uma proposta de emprego e perguntou se ele queria fazer um teste. O link para este “teste” apontava para um script Python malicioso, hospedado no GitHub. “A vítima copiou o código Python para sua página pessoal do GitHub e foi posteriormente comprometida”, disse o FBI. Usando um cookie de sessão roubado, os invasores fingiram ser o funcionário comprometido e conseguiram obter acesso ao sistema de comunicações da Ginko.

Esse acesso modificou então uma solicitação de transação legítima da exchange de criptomoedas DMM, levando ao roubo de mais de 4.500 bitcoins que foram transferidos para as carteiras dos invasores, no valor de US$ 308 milhões no momento do ataque. O FBI e a polícia japonesa dizem que o ataque foi obra de um grupo afiliado à Coreia do Norte chamado TraderTraitor. A empresa de análise Blockchain Chainalysis também prestou atenção recentemente ao ataque ao DMM.