Ethereum Foundation виявив 100 оперативників КНДР у компаніях Web3

TLDR

• Оперативники КНДР проникають у компанії Web3, оскільки Ethereum виявляє 100 випадків
• Розслідування Ethereum виявляє прихованих північнокорейських розробників у криптовалюті
• 100 розробників, пов'язаних з КНДР, знайдено вбудованими в команди Web3
• Криптовалютні компанії стикаються зі зростаючими ризиками від проникнення розробників з КНДР
• Проєкт за підтримки Ethereum виявляє довгострокову присутність КНДР у Web3

Ethereum Foundation виявив серйозне порушення безпеки, яке стосується прихованих оперативників усередині компаній Web3. Шестимісячне розслідування виявило 100 осіб, пов'язаних з Північною Кореєю, у криптовалютних командах. Висновки підкреслюють зростаючу операційну загрозу в екосистемі Ethereum.

Розслідування виявляє координоване проникнення у Web3

Ethereum Foundation підтримав структуроване розслідування через свою ініціативу ETH Rangers, запущену наприкінці 2024 року. Програма фінансувала незалежних дослідників, зосереджених на покращенні безпеки екосистеми через цільові зусилля щодо суспільних благ. У результаті один фінансований дослідник створив проєкт Ketman для відстеження підозрілої активності розробників.

Проєкт Ketman зосередився на виявленні фальшивих розробників у організаціях Web3, які використовують багаторівневі особистості. Протягом шести місяців проєкт позначив 100 осіб, пов'язаних з Північною Кореєю, які працюють у криптовалютних компаніях. Слідчі зв'язалися з 53 проєктами, які, можливо, несвідомо наймали цих оперативників.

Фонд підтвердив, що висновки виявляють критичний операційний ризик, що впливає на середовища розробки на базі Ethereum. Проєкт створив інструмент виявлення з відкритим вихідним кодом для позначення підозрілих шаблонів активності на GitHub. Ініціатива розширила зусилля для зміцнення захисту безпеки на рівні екосистеми.

Довгострокова присутність КНДР пов'язана з великими криптовалютними експлойтами

Докази показують, що розробники, пов'язані з Північною Кореєю, працювали в криптовалютних командах протягом кількох років. Ці особи робили внесок у проєкти, приховуючи свою особу через надійний технічний результат. Аналітики відстежили багато операцій до групи Lazarus, хакерського колективу за підтримки держави.

Звіти оцінюють, що групи, пов'язані з Північною Кореєю, вкрали близько 7 мільярдів доларів з криптовалютних платформ з 2017 року. Ці інциденти включають гучні порушення, такі як експлойт Ronin Bridge та атака на WazirX. Масштаб збитків відображає постійну та організовану кібер-активність.

Дослідники безпеки зазначили, що ці розробники часто володіють справжнім досвідом блокчейну, незважаючи на фальшиві особистості. Багато протоколів у екосистемі DeFi раніше покладалися на таких учасників. Проникнення виходить за межі ізольованих випадків у ширшу експозицію інфраструктури.

Базові тактики забезпечують постійні та ефективні операції

Слідчі виявили, що багато методів проникнення покладаються на прості, але постійні тактики. Вони включають заявки на роботу, охоплення в LinkedIn та віддалені співбесіди для отримання довіри в командах. У результаті оперативники поступово вбудовуються в робочі процеси розробки.

Проєкт Ketman визначив загальні попереджувальні ознаки в профілях розробників та поведінці систем. Вони включають повторно використані аватари, конфліктні налаштування мови та викриття непов'язаних облікових записів електронної пошти. Невідповідності часто з'являються під час спільного використання екрана або перегляду активності репозиторію.

Проєкт співпрацював з Security Alliance для розробки структури для виявлення підозрілих учасників. Ініціатива посилила можливості виявлення завдяки спільному обміну інформацією в усій галузі. Організації тепер мають чіткіші інструменти для зменшення впливу прихованих загроз.

Публікація Ethereum Foundation виявляє 100 оперативників КНДР у компаніях Web3 вперше з'явилася на CoinCentral.