В рамках программы ETH Rangers, инициированной Ethereum Foundation, проект Ketman обнаружил более ста северокорейских IT-специалистов, действовавших в криптовалютных компаниях под вымышленными именами. За шесть месяцев команда смогла идентифицировать агентов и уведомить 53 организации о возможных рисках.
- 100 северокорейских операторов идентифицировано.
- 53 проекта предупреждены о наличии агентов в штате.
- Разработан инструмент для обнаружения подозрительной активности на GitHub.
- Создан стандарт верификации IT-работников из КНДР.
Детали расследования
Инициатива ETH Rangers, стартовавшая в конце 2024 года, направлена на финансирование исследователей, занимающихся безопасностью экосистемы Ethereum. Одним из ключевых проектов стал Ketman, который сосредоточился на выявлении фиктивных разработчиков, связанных с КНДР. Эти специалисты, используя поддельные личности, infiltriruются в Web3-компании, что позволяет им получать доступ к важным данным и инфраструктуре.
Методы обнаружения агентов
Команда Ketman использовала несколько критериев для выявления северокорейских ИТ-операторов, включая:
- Использование одних и тех же аватаров на разных аккаунтах GitHub.
- Случайное раскрытие email-адресов во время видеозвонков.
- Несоответствие системного языка заявленному гражданству.
- Нестандартные часы работы для указанных часовых поясов.
| Параметр | Количество |
|---|---|
| Идентифицированные операторы КНДР | 100 |
| Уведомленные проекты | 53 |
| Общая сумма восстановленных средств | $5.8M+ |
| Сообщенные уязвимости | 785+ |
В конечном счете, работа команды Ketman и поддержка Ethereum Foundation помогают справиться с одной из самых серьезных угроз безопасности в экосистеме Ethereum, что подчеркивается в итоговом отчете программы ETH Rangers.