Проєкт Ketman, підтриманий Ethereum Foundation, виявив приблизно 100 підозрюваних ІТ-спеціалістів з Північної Кореї, які діяли через 53 криптовалютні проєкти, згідно з підсумковим звітом ETH Rangers Program, оприлюдненим 16 квітня.
Шестимісячна ініціатива, фінансована завдяки стипендіям від ETH Rangers Program Ethereum Foundation, була спрямована виключно на виявлення та усунення представників КНДР, що проникли у Web3-організації під вигаданими особами.
Методи використання підроблених особистостей та фальшивих KYC-документів північнокорейськими операторами
Останнє розслідування Ketman докладно продемонструвало, як афілійовані з КНДР суб’єкти видавали себе за японських розробників на Web3-фриланс платформі OnlyDust.
Для цього використовувалися згенеровані штучним інтелектом фотографії профілю, вигадані імена, наприклад, «Hiroto Iwaki» та «Motoki Masuo», а також підроблені японські документи під час перевірки особи.
Під час відеодзвінка розслідувачі остаточно підтвердили фальсифікацію: підозрюваний, отримавши прохання представитися японською мовою, зняв навушники та покинув розмову.
Фахівці ідентифікували щонайменше три окремі кластери суб’єктів у 11 репозиторіях. Всього було інтегровано 62 pull requests до моменту виявлення діяльності.
Відкритий інструментарій та галузеві стандарти реагування
Окрім конкретних кейсів, Ketman розробив gh-fake-analyzer — open-source інструмент для аналізу GitHub-профілів, вже представлений у PyPI.
Також у співпраці з Security Alliance (SEAL) команда створила DPRK IT Workers Framework, що нині став галузевим стандартом при ідентифікації й нейтралізації загроз.
ETH Rangers Program, запущена наприкінці 2024 року спільно з Secureum, The Red Guild та SEAL, надала фінансування для 17 стипендіатів у різних напрямках реагування.
Серед досягнутих результатів — понад $5,8 млн повернених активів, 785 зафіксованих вразливостей і 36 інцидентів, врегульованих командою.
Північнокорейські суб’єкти викрали криптовалютних активів на мільярди доларів за останній період. Аналітики з питань безпеки відзначають, що проникнення ІТ-працівників часто використовується як початковий етап для реалізації масштабних атак на ланцюг постачання, координованих північнокорейськими хакерськими об’єднаннями.
