De Japanse cryptobeurs DMM is eerder dit jaar via een malafide recruiter op LinkedIn bestolen van 308 miljoen dollar aan bitcoin, zo melden de FBI en Japanse politie (pdf). Een medewerker van Ginco, het bedrijf waar cryptobeurs DMM het systeem voor walletbeheer aan had toevertrouwd, werd via LinkedIn benaderd door iemand die zich voordeed als recruiter.

De "recruiter" benaderde de Ginco-medewerker met het verzoek of hij een test wilde doen. De link voor deze "test" wees naar een malafide Python-script gehost op GitHub. "Het slachtoffer kopieerde de Python-code naar zijn persoonlijke GitHub-pagina en werd vervolgens gecompromitteerd", aldus de FBI. Met een gestolen session cookie deden de aanvaller zich vervolgens als de gecompromitteerde medewerker voor en wisten toegang tot het communicatiesysteem van Ginko te krijgen.

Via deze toegang werd vervolgens een legitiem transactieverzoek van cryptobeurs DMM aangepast, wat leidde tot de diefstal van meer dan 4500 bitcoin dat naar wallets van de aanvallers werd overgemaakt., wat op het moment van de aanval omgerekend 308 miljoen dollar was. Volgens de FBI en Japanse politie is de aanval het werk van een aan Noord-Korea gelieerde groep genaamd TraderTraitor. Onlangs besteedde ook blockchain-analysebedrijf Chainalysis aandacht aan de aanval op DMM.