Projekt Ketman, finansowany przez Ethereum Foundation, zidentyfikował około 100 podejrzanych północnokoreańskich pracowników IT działających w 53 projektach kryptowalutowych, zgodnie z podsumowaniem programu ETH Rangers z 16 kwietnia.
Sześciomiesięczna inicjatywa, wspierana za pomocą stypendiów z programu ETH Rangers Ethereum Foundation, skupiła się na wykrywaniu i wyrzucaniu agentów Korei Północnej, którzy przeniknęli do organizacji Web3 pod zmyślonymi tożsamościami.
Jak Koreańczycy z Północy używają fałszywych tożsamości i podrobionych dokumentów KYC
Niedawne śledztwo Ketman opisało, jak osoby powiązane z Koreą Północną udawały japońskich deweloperów na platformie Web3 OnlyDust dla freelancerów.
Agenci używali zdjęć wygenerowanych przez AI, fałszywych nazwisk, takich jak „Hiroto Iwaki” i „Motoki Masuo”, i przesyłali podrobione japońskie dokumenty tożsamości podczas weryfikacji.
Badacze potwierdzili oszustwo podczas rozmowy wideo. Gdy poproszono jednego podejrzanego o przedstawienie się po japońsku, zdjął słuchawki i opuścił rozmowę.
Zespół wyśledził co najmniej trzy grupy aktorów w 11 repozytoriach. Wcześniej zaakceptowano 62 pull requesty, zanim je wykryto.
Narzędzia open-source i branżowe ramy
Poza indywidualnymi śledztwami Ketman stworzył gh-fake-analyzer, open-source’owe narzędzie do analizy profili GitHub, dostępne teraz na PyPI.
Projekt współtworzył także ramy DPRK IT Workers Framework z Security Alliance (SEAL), które stały się branżowym standardem.
Program ETH Rangers, uruchomiony pod koniec 2024 razem z Secureum, The Red Guild i SEAL, przyznał łącznie 17 stypendiów.
Do głównych efektów należało odzyskanie ponad 5,8 mln USD, zgłoszenie 785 luk bezpieczeństwa i obsługa 36 incydentów bezpieczeństwa.
Północnokoreańscy agenci ukradli w ostatnich latach miliardy USD w kryptoaktywach. Eksperci ds. bezpieczeństwa ostrzegają, że infiltracja przez pracowników IT często otwiera drogę do większych ataków na łańcuch dostaw, koordynowanych przez zespoły hakerów z Korei Północnej.
