Ethereum Foundationin rahoittama Ketman Project on tunnistanut noin 100 epäiltyä pohjoiskorealaista IT-työntekijää, jotka toimivat 53 kryptoprojektissa, ETH Rangers Programin yhteenvetoraportin mukaan, joka julkaistiin 16. huhtikuuta.
Kuusi kuukautta kestänyt hanke, jota rahoitettiin Ethereum Foundationin ETH Rangers Programin palkkioilla, keskittyi erityisesti tunnistamaan ja poistamaan DPRK:n edustajia, jotka olivat soluttautuneet Web3-organisaatioihin tekaistuilla henkilöllisyyksillä.
Miten pohjoiskorealaiset käyttävät väärennettyjä henkilöllisyyksiä ja KYC-dokumentteja
Äskettäisessä Ketmanin selvityksessä kuvattiin, miten DPRK:hon yhdistetyt toimijat esiintyivät japanilaisina kehittäjinä Web3-freelance-alusta OnlyDustissa.
Toimijat käyttivät tekoälyn luomia profiilikuvia, keksittyjä nimiä, kuten “Hiroto Iwaki” ja “Motoki Masuo”, ja lähettivät väärennettyjä japanilaisia henkilöllisyystodistuksia vahvistuksen yhteydessä.
Tutkijat vahvistivat huijauksen videopuhelussa, kun yhdeltä epäillyltä pyydettiin esittäytymään japaniksi. Hän otti kuulokkeet pois ja poistui puhelusta.
Tiimi jäljitti vähintään kolme toimijaryhmää yhteensä 11 repositorioon, joissa havaittiin 62 hyväksyttyä pull-pyyntöä ennen paljastumista.
Avoimen lähdekoodin työkalut ja alan viitekehys
Yksittäisten selvitysten lisäksi Ketman kehitti gh-fake-analyzer-nimisen avoimen lähdekoodin GitHub-profiilianalyysityökalun, joka on nyt saatavilla PyPI:ssa.
Projekti oli myös mukana laatimassa DPRK IT Workers Framework -viitekehystä yhteistyössä Security Alliance (SEAL) -organisaation kanssa. Siitä on tullut alan standardiviite.
ETH Rangers Program perustettiin loppuvuodesta 2024 Secureumin, The Red Guildin ja SEALin kanssa. Ohjelma tuki yhteensä 17 palkkion saajaa.
Kattaviin tuloksiin sisältyi yli 5,8 miljoonan dollarin varojen palautus, 785 ilmoitettua haavoittuvuutta ja 36 hoidettua tapausta.
Pohjoiskorealaiset toimijat ovat varastaneet viime vuosina miljardeja dollaria kryptovaroja. Turvallisuustutkijat varoittavat, että IT-työntekijöiden soluttautuminen toimii usein ensimmäisenä askeleena laajempiin toimitusketjuhyökkäyksiin, joita DPRK:n hakkeritiimit koordinoivat.
