Програма Ethereum Foundation виявила 100 криптовалютних працівників, пов'язаних з КНДР

Інструмент виявлення з відкритим вихідним кодом та галузевий стандарт ідентифікаційної структури — це були одними з результатів роботи одного дослідника, який працював на шестимісячну стипендію.

Результати, опубліковані Ethereum Foundation, були отримані в рамках програми ETH Rangers, яка була створена наприкінці 2024 року для фінансування безпекової роботи на користь більш широкої криптоекосистеми.

Один дослідник, одна стипендія, 100 агентів

Один з отримувачів гранту використав фінансування для створення Ketman Project, розслідування, зосередженого на фальшивих особистостях розробників у криптокомпаніях.

За шість місяців проєкт виявив 100 північнокорейських IT-працівників, впроваджених в організації Web3. Близько 53 проєктів було повідомлено та попереджено, що вони могли найняти активних агентів, пов'язаних з Корейською Народно-Демократичною Республікою.

Ethereum Foundation описала загрозу як "одну з найбільш нагальних загроз операційної безпеки, з якими стикається екосистема Ethereum сьогодні".

Вебсайт Ketman Project описує тактики, які використовують ці працівники — поведінкові моделі, технічні звички та трюки з ідентичністю, які дозволяють їм видавати себе за легітимних розробників.

Деякі з червоних прапорців вражаюче базові. Працівники були спіймані на повторному використанні тих самих фотографій профілю та метаданих у різних облікових записах GitHub.

Під час сеансів спільного доступу до екрана випадково були розкриті непов'язані адреси електронної пошти. У деяких випадках налаштування мови пристрою — встановлені на російську — видавали особистості, які суперечили заявленим національностям.

Як були спіймані агенти

Ketman Project не просто ідентифікував окремих осіб. Він побудував інфраструктуру. Було розроблено інструмент з відкритим вихідним кодом для позначення незвичайної активності GitHub, пов'язаної з підозрілими обліковими записами.

Окрема структура для ідентифікації працівників, пов'язаних з КНДР, була співавторською з Security Alliance, некомерційною організацією, зосередженою на безпеці блокчейну. Обидва ресурси тепер доступні для використання іншими організаціями.

Звіти вказують, що Ethereum Foundation не розкрила конкретних методів, використаних для викриття агентів, окрім того, що описують власні публікації Ketman Project. Вебсайт проєкту, однак, пропонує детальні описи операційних моделей, які видали працівників.

Присутність Північної Кореї в криптовалюті не є новою. Державні хакерські групи, включаючи добре відому Lazarus Group, були пов'язані з деякими з найбільших крадіжок в історії галузі.

Згідно зі звітами, мільярди доларів у цифрових активах були вкрадені північнокорейськими акторами протягом років.

Програма ETH Rangers була створена спеціально для вирішення прогалин у безпеці через окремих осіб, які фінансуються стипендіями та виконують роботу в суспільних інтересах.

Ketman Project представляє один з перших публічно задокументованих результатів. Чи отримали інші отримувачі грантів подібні результати, не було розкрито.

Featured image from Chief Learning Officer, chart from TradingView