Стипендиат Ethereum Foundation отыскал 100 северокорейских IT-агентов в Web3-компаниях

Проект Ketman, получивший стипендию в рамках программы ETH Rangers, за шесть месяцев идентифицировал сотню северокорейских IT-специалистов, работавших в криптокомпаниях под фиктивными личностями.

The ETH Rangers Program has wrapped up and the results speak for themselves: $5.8M+ recovered, 785+ vulnerabilities reported, 100+ DPRK operatives identified, and so much more.A decentralized defence for a decentralized network.Read the full recap

Организация Ethereum Foundation опубликовала отчет по программе ETH Rangers — инициативе, запущенной в конце 2024 года для финансирования независимых исследователей, занимающихся безопасностью экосистемы. 

Один из получателей стипендии направил средства на создание проекта Ketman, специализирующегося на поиске «фиктивных разработчиков» в криптоиндустрии. Исследователи сфокусировались на поддерживаемых КНДР операциях. 

Северокорейские IT-специалисты годами устраиваются в Web3-компании под поддельными личностями, зарабатывают зарплату и одновременно обеспечивают разведку и потенциальный доступ к инфраструктуре проектов. За спиной наиболее громких операций стоит группировка Lazarus Group.

За шесть месяцев работы команда Ketman задокументировала 100 операторов КНДР, активно действовавших внутри Web3-организаций, и уведомила 53 проекта о том, что те, вероятно, держат в штате действующих агентов.

Согласно выложенным на сайте Ketman материалам, эксперты ориентировались на выявленные особенности «тактики, поведения и оперативные модели», присущие северокорейским IT-операторам, включая:

• повторное использование аватаров и метаданных профиля на нескольких аккаунтах GitHub под разными именами;
• случайное раскрытие несвязанных адресов электронной почты при совместном использовании экрана во время звонков;
• противоречащие заявленному гражданству установки системного языка по умолчанию —  русский или иной;
• специфические поведенческие паттерны в коммуникации и нетипичные часы работы для указанного часового пояса.

Подробно методологию обнаружения агентов КНДР в проекте и Ethereum Foundation не раскрыли. 

Помимо расследовательской работы, в Ketman разработали инструмент с открытым исходным кодом для автоматического обнаружения подозрительной активности на GitHub. Также совместно с некоммерческой организацией Security Alliance был создан отраслевой стандарт верификации — фреймворк для идентификации IT-работников КНДР при найме.

«Эта работа напрямую устраняет одну из наиболее острых угроз операционной безопасности, с которыми сталкивается экосистема Ethereum сегодня», — говорится в отчете Ethereum Foundation по итогам ETH Rangers.

В рамках инициативы суммарно фонд поддержал 17 стипендиатов. Их деятельность имела широкий диапазон: от исследования уязвимостей и инструментов безопасности до образования, анализа угроз и реагирования на инциденты.

Напомним, 1 апреля DeFi-платформа Drift Protocol на базе Solana подверглась взлому на $280 млн. Согласно выводам команда проекта и экспертам по кибербезопасности, за атакой стоят хакеры из КНДР.