Фонд Ethereum викриває 100 північнокорейських оперативників, які проникли у криптовалютні компанії

Ключові висновки

• Шестимісячне розслідування виявило 100 північнокорейських агентів, які працюють у криптовалютних компаніях
• Дослідження за підтримки Ethereum Foundation викриває таємну мережу розробників у блокчейн-індустрії
• Виявлено агентів, пов'язаних з КНДР, які діють під вигаданими іменами в командах розробників Web3
• Блокчейн-організації стикаються з посиленими загрозами безпеці з боку державних оперативників
• Розслідування розкриває систематичну, довгострокову присутність Північної Кореї в крипто-секторі

Всебічне розслідування безпеки за підтримки Ethereum Foundation виявило значну брешу, пов'язану з таємними агентами, впроваджених в організації Web3. Масштабна шестимісячна дослідницька операція успішно ідентифікувала 100 осіб з контактами з Північною Кореєю, які працюють всередині команд розробників криптовалют. Ці розкриття підкреслюють зростаючий виклик операційної безпеки в мережі Ethereum.

Систематичне дослідження виявляє широку мережу інфільтрації Web3

Ethereum Foundation підтримав цю всебічну оцінку безпеки через свою програму ETH Rangers, яка розпочала діяльність наприкінці 2024 року. Ця ініціатива надала фінансування незалежним дослідникам безпеки, які присвятили себе покращенню захисту екосистеми через цільові проєкти публічної інфраструктури. Як наслідок, один із отримувачів заснував проєкт Ketman спеціально для моніторингу сумнівних моделей поведінки розробників.

Проєкт Ketman зосередив свої зусилля на викритті шахрайських розробників, впроваджених у компанії Web3, які використовують багатошарові фальшиві ідентичності. Протягом шестимісячного періоду розслідування дослідники успішно ідентифікували 100 осіб, пов'язаних з Північною Кореєю, які наразі працюють в криптовалютних організаціях. Команда розслідування зв'язалася з 53 різними блокчейн-проєктами, які потенційно найняли цих прихованих оперативників без відома.

Фонд підтвердив, що ці відкриття розкривають суттєву вразливість операційної безпеки, що впливає на інфраструктуру розробки на основі Ethereum. Дослідники розробили платформу виявлення з відкритим вихідним кодом, призначену для виявлення підозрілих патернів у активності учасників GitHub. Ця програма представляє розширені зобов'язання щодо посилення заходів безпеки в більш широкій екосистемі.

Тривалі північнокорейські операції пов'язані з масовими крадіжками криптовалют

Слідчі докази демонструють, що розробники, пов'язані з Північною Кореєю, підтримували активні ролі в командах розробників криптовалют протягом кількох років. Ці оперативники брали участь у розробці проєктів, приховуючи свою справжню особу за достовірними технічними внесками. Аналітики безпеки пов'язали численні операції з групою Lazarus, державною кіберзлочинною організацією.

Галузеві звіти підраховують, що організації, пов'язані з Північною Кореєю, успішно викрали приблизно 7 мільярдів доларів з криптовалютних платформ, починаючи з 2017 року. Ця злочинна діяльність охоплює значні порушення безпеки, включаючи компроміс Ronin Bridge та інцидент безпеки WazirX. Масштаб фінансових збитків демонструє скоординовані та безперервні операції кібервійни.

Експерти з кібербезпеки помітили, що ці вбудовані розробники часто демонструють легітимний досвід розробки блокчейну, незважаючи на роботу під вигаданими ідентичностями. Численні протоколи децентралізованих фінансів в екосистемі історично залежали від таких учасників. Ця проблема інфільтрації виходить далеко за межі окремих ізольованих інцидентів у фундаментальну вразливість інфраструктури.

Прямолінійні методи обману забезпечують довгострокову успішну інфільтрацію

Дослідники виявили, що численні стратегії інфільтрації залежать від нескладних, але високоефективних технік обману. Ці підходи включають стандартні заяви про прийом на роботу, професійні мережі LinkedIn та віддалені процеси співбесід, розроблені для встановлення довіри в командах розробників. Через ці методи оперативники успішно інтегруються в стандартні операції розробки.

Проєкт Ketman задокументував повторювані червоні прапорці, очевидні в облікових записах розробників та системних взаємодіях. Ці попереджувальні індикатори включають повторно використані зображення профілю, суперечливі налаштування мови та ненавмисне розкриття непов'язаних облікових записів електронної пошти. Розбіжності часто виникають під час сеансів спільного доступу до екрана або під час перевірки історії активності репозиторію коду.

Дослідницька ініціатива співпрацювала з Security Alliance для встановлення всебічної структури для виявлення підозрілих учасників-розробників. Ця спільна зусилля покращила можливості виявлення загроз через координований обмін розвідданими в криптовалютній індустрії. Блокчейн-організації тепер мають покращені ресурси для мінімізації вразливості до прихованих загроз безпеці.

Стаття Ethereum Foundation викриває 100 північнокорейських оперативників, які інфільтрували крипто-компанії, вперше з'явилася на Blockonomi.