Program Fundacji Ethereum identyfikuje 100 pracowników kryptowalutowych powiązanych z KRLD

Narzędzie wykrywania open-source i standardowy dla branży framework identyfikacji — to były jedne z rezultatów pracy pojedynczego badacza pracującego na sześciomiesięcznym stypendium.

Wyniki, opublikowane przez Ethereum Foundation, powstały w ramach programu ETH Rangers, który został utworzony pod koniec 2024 roku w celu finansowania prac nad bezpieczeństwem z korzyścią dla szerszego ekosystemu kryptowalut.

Jeden badacz, jedno stypendium, 100 agentów

Jeden z beneficjentów grantu wykorzystał fundusze do stworzenia Ketman Project — projektu śledczego skupionego na fałszywych tożsamościach deweloperów w firmach kryptowalutowych.

W ciągu sześciu miesięcy projekt wykrył 100 pracowników IT z Korei Północnej osadzonych w organizacjach Web3. Skontaktowano się z około 53 projektami i ostrzeżono je, że mogły zatrudnić aktywnych agentów powiązanych z Koreańską Republiką Ludowo-Demokratyczną.

Ethereum Foundation określiła to zagrożenie jako „jedno z najpilniejszych zagrożeń bezpieczeństwa operacyjnego, przed którymi stoi ekosystem Ethereum dzisiaj".

Strona internetowa Ketman Project przedstawia taktyki stosowane przez tych pracowników — wzorce zachowań, nawyki techniczne i sztuczki tożsamościowe, które pozwalają im uchodzić za legalnych deweloperów.

Niektóre z sygnałów ostrzegawczych są zaskakująco podstawowe. Pracownicy zostali przyłapani na ponownym wykorzystywaniu tych samych zdjęć profilowych i metadanych w różnych kontach GitHub.

Podczas sesji udostępniania ekranu przypadkowo ujawniono niepowiązane adresy e-mail. W niektórych przypadkach ustawienia języka urządzenia — ustawione na rosyjski — zdradzały tożsamości, które były sprzeczne z deklarowanymi narodowościami.

Jak przyłapano agentów

Ketman Project nie tylko zidentyfikował osoby. Zbudował infrastrukturę. Opracowano narzędzie open-source do oznaczania nietypowej aktywności na GitHub powiązanej z podejrzanymi kontami.

Oddzielny framework do identyfikacji pracowników powiązanych z KRLD został współtworzony z Security Alliance, organizacją non-profit skupioną na bezpieczeństwie blockchain. Oba zasoby są teraz dostępne dla innych organizacji.

Raporty wskazują, że Ethereum Foundation nie ujawniła konkretnych metod użytych do demaskowania agentów poza tym, co opisują własne publikacje Ketman Project. Strona internetowa projektu oferuje jednak szczegółowe opisy wzorców operacyjnych, które zdradziły pracowników.

Obecność Korei Północnej w kryptowalutach nie jest nowa. Grupy hakerskie powiązane z państwem, w tym dobrze znana Lazarus Group, były związane z jednymi z największych kradzieży w historii branży.

Według raportów, miliardy dolarów w aktywach cyfrowych zostały skradzione przez północnokoreańskich aktorów na przestrzeni lat.

Program ETH Rangers został stworzony specjalnie w celu eliminowania luk w bezpieczeństwie poprzez finansowanie stypendiami osób wykonujących pracę w interesie publicznym.

Ketman Project reprezentuje jeden z jego pierwszych publicznie udokumentowanych rezultatów. Czy inni beneficjenci grantów osiągnęli podobne wyniki, nie zostało ujawnione.

Wyróżniony obraz z Chief Learning Officer, wykres z TradingView