Литовец, укравший с помощью вредоносного ПО криптовалюту на $1,2 млн, арестован и экстрадирован в Южную Корею

Литовского гражданина экстрадировали в Южную Корею по запросу киберполицейских. Хакера обвиняют в распространении вредоносного ПО, которое 8,4 тыс. раз подменило адрес назначения криптовалюты жертв и отправило ее прямиком в криптокошелек злоумышленника.



Экстрадиция в Южную Корею

Полиция Южной Кореи заявила об экстрадиции в страну Интерполом хакера, обвиняемого в использовании вредоносного ПО для кражи криптовалюты. Информация об этом опубликована на официальным сайтом электронного правительства Республики Корея.

Отдел реагирования на кибертерроризм Национального следственного управления сообщил, что гражданин Литвы, имя которого не разглашается, арестованный при попытке уехать из Литву в Грузию, использовал зловред, замаскированный под инструмент KMSAuto.

У пользователей 3,1 тыс. адресов виртуальных активов ему удалось похитить в 2020-2023 гг., как утверждают полицейские, криптовалюту на сумму 1,7 млрд вон ($1,2 млн).

Kanchanara / Unsplash Для кражи криптовалюты хакер замаскировал зловред под инструмент KMSAuto

Арестованный содержится под стражей, так как может предпринять попытку скрыться и уничтожить улики.

ВПО для кражи криптовалюты

Расследование по этому делу велось с 2020 г., когда первая жертва (гражданин Кореи, находящийся за границей) заявила о краже одного Bitcoin, стоившего 12 млн вон.

«Вредоносное ПО было установлено, потому что оно входило в состав KMSAuto, программного пакета, загруженного жертвой из интернета для аутентификации в Windows. В конечном итоге ущерб был нанесен из-за того, что жертва использовала нелицензионное программное обеспечение», — говорится в сообщении правоохранителей.

Подозреваемый, как выяснило следствие, использовал ВПО типа Clipper, которое проверяет содержимое буфера обмена на наличие адресов криптовалюты и автоматически подменяет адрес назначения на адрес, контролируемый злоумышленником.

Всего ВПО было заражено 2,8 млн компьютеров по всему миру, включая Южную Корею. Целями мошенника якобы были также шесть криптобирж, потоки виртаульных активов которых он отслеживал. Преступная схема сработала 8,4 тыс. Подтверждено, что восемь корейцев понесли ущерб в общей сложности на сумму 16 млн вон.

Криптоугроза

По данным компании Chainalysis, с января по начало декабря 2025 г. в мире было украдено криптовалюты на сумму, превышающую $3,4 млрд. Было зафиксировано 158 тыс. случаев компрометации личных кошельков. Жертвами стали более 80 тыс. пользователей.

В опубликованном на сайте компании отчете основным субъектом угроз названа Корейская Народная Республика (КНДР). Взлом криптовалютной биржи Bybit в феврале был самым крупным успехом для КНДР: им тогда удалось выкрасть около $1,5 млрд в криптовалютах. Атаку приписали кластеру угроз под названием TraderTraitor (также известной как Jade Sleet и Slow Pisces).

В начале декабря исследователи компании Hudson Rock выявили инфраструктуру, непосредственно связанную со взломом Bybit, после того, как один из ее операторов сам оказался заражен одним из вредоносов, которыми они пользуются, — Lumma Stealer.

Летом 2025 г. CNews писал, что у российского программиста украли криптовалюту на полмиллиона долларов, подделав популярный инструмент. «Лаборатория Касперского» выяснила, что разработчик, искавший средства подсветки синтаксиса кода на Solidity, ввел в поисковик одно слово — Solidity. И в результатах поиска вредоносное расширение расположилось на четвертом месте, а легитимное — только на восьмом.