Ethereum Foundation Ontdekt 100 DPRK-agenten in Web3-bedrijven

TLDR

• DPRK-operatives infiltreren Web3-bedrijven terwijl Ethereum 100 gevallen signaleert
• Ethereum-onderzoek onthult verborgen Noord-Koreaanse ontwikkelaars in crypto
• 100 DPRK-gelinkte ontwikkelaars gevonden ingebed in Web3-teams
• Cryptobedrijven worden geconfronteerd met toenemende risico's door DPRK-ontwikkelaarsinfiltration
• Door Ethereum gesteund project onthult langdurige DPRK Web3-aanwezigheid

De Ethereum Foundation onthulde een grote beveiligingsschending waarbij verborgen operatives in Web3-bedrijven betrokken waren. Het zes maanden durende onderzoek identificeerde 100 personen gelinkt aan Noord-Korea binnen cryptoteams. De bevindingen benadrukken een groeiende operationele dreiging binnen het Ethereum-ecosysteem.

Onderzoek onthult gecoördineerde infiltratie in Web3

De Ethereum Foundation steunde een gestructureerd onderzoek via haar ETH Rangers-initiatief dat eind 2024 werd gelanceerd. Het programma financierde onafhankelijke onderzoekers gericht op het verbeteren van ecosysteembeveiliging door gerichte publieke inspanningen. Als gevolg daarvan creëerde een gefinancierde onderzoeker het Ketman Project om verdachte ontwikkelaarsactiviteit te volgen.

Het Ketman Project richtte zich op het identificeren van valse ontwikkelaars binnen Web3-organisaties die gelaagde identiteiten gebruiken. Gedurende zes maanden markeerde het project 100 personen gelinkt aan Noord-Korea die actief waren in cryptobedrijven. Onderzoekers contacteerden 53 projecten die mogelijk onbewust deze operatives in dienst hadden.

De foundation bevestigde dat de bevindingen een kritisch operationeel risico blootleggen dat Ethereum-gebaseerde ontwikkelomgevingen treft. Het project bouwde een open-source detectietool om verdachte GitHub-activiteitspatronen te markeren. Het initiatief breidde inspanningen uit om beveiligingsverdediging op ecosysteemniveau te versterken.

Langdurige DPRK-aanwezigheid gekoppeld aan grote crypto-exploits

Bewijs toont aan dat Noord-Koreaans-gelinkte ontwikkelaars al meerdere jaren binnen cryptoteams opereren. Deze personen droegen bij aan projecten terwijl ze hun identiteiten maskeerden door geloofwaardige technische output. Analisten traceerden veel operaties terug naar de Lazarus Group, een door de staat gesteund hackingcollectief.

Rapporten schatten dat Noord-Koreaans-gelinkte groepen sinds 2017 ongeveer $7 miljard hebben gestolen van cryptoplatforms. Deze incidenten omvatten spraakmakende inbreuken zoals de Ronin Bridge-exploit en de WazirX-aanval. De schaal van de schade weerspiegelt aanhoudende en georganiseerde cyberactiviteit.

Beveiligingsonderzoekers merkten op dat deze ontwikkelaars vaak echte blockchain-ervaring bezitten ondanks valse identiteiten. Veel protocollen binnen het DeFi-ecosysteem vertrouwden eerder op dergelijke bijdragers. De infiltratie strekt zich uit voorbij geïsoleerde gevallen naar bredere infrastructuurblootstelling.

Basistactieken maken persistente en effectieve operaties mogelijk

Onderzoekers ontdekten dat veel infiltratiemethoden vertrouwen op eenvoudige maar persistente tactieken. Deze omvatten sollicitaties, LinkedIn-outreach en interviews op afstand om vertrouwen binnen teams te winnen. Als gevolg daarvan integreren operatives zich geleidelijk in ontwikkelingsworkflows.

Het Ketman Project identificeerde veelvoorkomende waarschuwingssignalen in ontwikkelaarsprofielen en systeemgedrag. Deze omvatten hergebruikte avatars, conflicterende taalinstellingen en blootstelling van ongerelateerde e-mailaccounts. Inconsistenties verschijnen vaak tijdens schermdeling of beoordelingen van repository-activiteit.

Het project werkte samen met de Security Alliance om een framework te ontwikkelen voor het identificeren van verdachte bijdragers. Het initiatief versterkte detectiecapaciteiten door gedeelde intelligentie binnen de sector. Organisaties hebben nu duidelijkere tools om blootstelling aan verborgen dreigingen te verminderen.

Het bericht Ethereum Foundation ontdekt 100 DPRK-operatives in Web3-bedrijven verscheen eerst op CoinCentral.