Ketman Project, finansiert av Ethereum Foundation, har identifisert omtrent 100 mistenkte nordkoreanske IT-arbeidere som opererer på tvers av 53 kryptoprosjekter, ifølge en oppsummering fra ETH Rangers Program publisert 16. april.
Det seks måneder lange initiativet, støttet gjennom stipender fra Ethereum Foundation sitt ETH Rangers Program, fokuserte spesifikt på å oppdage og utvise DPRK-operatører som hadde infiltrert Web3-organisasjoner under falske identiteter.
Hvordan nordkoreanere bruker forfalskede identiteter og falske KYC-dokumenter
En fersk Ketman undersøkelse beskrev hvordan aktører med tilknytning til DPRK utga seg for å være japanske utviklere på Web3-frilansplattformen OnlyDust.
Operatørene brukte AI-genererte profilbilder, fabrikerte navn som “Hiroto Iwaki” og “Motoki Masuo”, og sendte inn forfalskede japanske ID-dokumenter til verifisering.
Etterforskere bekreftet bedraget under en videosamtale, da én mistenkt ble bedt om å introdusere seg selv på japansk, tok av hodetelefonene og forlot samtalen.
Teamet sporet minst tre aktørklynger på tvers av 11 repositories, der 62 pull requests ble godkjent før oppdagelsen.
Åpen kildekode-verktøy og bransjestandarder
Utover individuelle undersøkelser utviklet Ketman gh-fake-analyzer, et åpen kildekode analyseverktøy for GitHub-profiler som nå er tilgjengelig på PyPI.
Prosjektet var også medforfatter av DPRK IT Workers Framework sammen med Security Alliance (SEAL), som har blitt en referansestandard i bransjen.
ETH Rangers Program, lansert sent i 2024 sammen med Secureum, The Red Guild og SEAL, finansierte totalt 17 stipendiater.
Samlede resultater inkluderte over $ 5,8 millioner i tilbakeførte midler, 785 rapporterte sårbarheter og 36 håndterte hendelser.
Nordkoreanske operatører har stjålet milliarder i kryptoaktiva de siste årene. Sikkerhetsforskere advarer om at IT-arbeideres infiltrasjon ofte fungerer som et springbrett for større angrep på forsyningskjeden koordinert av DPRK sine hacker-team.
