CrowdStrike: северокорейская Famous Chollima обеспечила 47% ручных атак на технологический сектор

В отчете CrowdStrike о киберугрозах для технологического сектора северокорейская группа Famous Chollima названа крупнейшим источником ручных госспонсируемых операций. За период с 1 апреля 2025 года по 31 марта 2026 года на нее пришлось 47% таких атак; одна из ключевых схем — трудоустройство поддельных удаленных IT-специалистов.

Американская компания по кибербезопасности CrowdStrike опубликовала Technology Threat Landscape Report за 2026 год, посвященный атакам на технологический сектор. По данным компании, северокорейская группировка Famous Chollima обеспечила 47% всех госспонсируемых операций типа hands-on-keyboard против технологических организаций за период с 1 апреля 2025 года по 31 марта 2026 года.

Hands-on-keyboard — это ручные действия злоумышленников внутри инфраструктуры жертвы: использование украденных учетных данных, легитимных инструментов администрирования и другой активности, которую сложнее свести к обычному запуску вредоносного ПО. Для Famous Chollima характерна схема «удаленного IT-сотрудника»: операторы под поддельными личностями ищут работу разработчиками и другими техническими специалистами в компаниях Северной Америки, Европы и Азии.

Такая модель опасна не только как способ первичного доступа. Получив позицию внутри компании, злоумышленники могут получать зарплату, доступ к внутренним системам и данным, а также использовать инфраструктуру работодателя для дальнейших операций. CrowdStrike связывает эту активность прежде всего с финансовой мотивацией и направлением доходов северокорейскому режиму.

В том же отчете CrowdStrike указывает, что в целом крупнейшую долю госспонсируемых целевых вторжений против технологического сектора — более 58% — составили группы, связанные с Китаем. Отдельным риском для разработчиков и open source названы атаки на цепочки поставок: среди примеров приведена компрометация npm-пакета Axios группой STARDUST CHOLLIMA.