Theo bản tóm tắt của chương trình ETH Rangers được công bố ngày 16 tháng 4, dự án Ketman do Ethereum Foundation tài trợ đã xác định được khoảng 100 nhân viên CNTT bị nghi ngờ là người Triều Tiên đang làm việc tại 53 dự án tiền điện tử.
Sáng kiến kéo dài sáu tháng này, được hỗ trợ thông qua các khoản trợ cấp từ Chương trình ETH Rangers của Quỹ Ethereum, tập trung cụ thể vào việc phát hiện và trục xuất các đặc vụ Triều Tiên đã thâm nhập vào các tổ chức Web3 dưới danh tính giả mạo.
Cách người Triều Tiên sử dụng giấy tờ tùy thân giả mạo và tài liệu Kiểm Tra Danh Tính (KYC) giả mạo
Mộtcuộc điều tra gần đây của Ketman đã chỉ rõ cách các đối tượng có liên hệ với Triều Tiên giả danh là các nhà phát triển người Nhật trên nền tảng việc làm tự do Web3 OnlyDust.
Các đặc vụ đã sử dụng ảnh đại diện do AI tạo ra, tên giả như “Hiroto Iwaki” và “Motoki Masuo”, và nộp các giấy tờ tùy thân giả mạo của Nhật Bản trong quá trình xác minh.
Các nhà điều tra đã xác nhận hành vi lừa đảo trong một cuộc gọi video khi một nghi phạm, được yêu cầu tự giới thiệu bằng tiếng Nhật, đã tháo tai nghe và rời khỏi cuộc gọi .
Nhóm nghiên cứu đã theo dõi ít nhất ba nhóm tác nhân trên 11 kho lưu trữ, trong đó có 62 yêu cầu kéo (pull request) đã được hợp nhất trước khi bị phát hiện.
Công cụ mã nguồn mở và khung ngành
Ngoài các cuộc điều tra riêng lẻ, Ketman đã phát triển gh-fake-analyzer, một công cụ phân tích hồ sơ mã nguồn mở trên GitHub hiện có sẵn trên PyPI.
Dự án này cũng đồng tác giả Khung năng lực nhân viên CNTT của CHDC Triều Tiên với Liên minh An ninh (SEAL), vốn đã trở thành tài liệu tham khảo tiêu chuẩn trong ngành.
Chương trình ETH Rangers, được khởi động vào cuối năm 2024 cùng với Secureum, The Red Guild và SEAL, đã tài trợ học bổng cho tổng cộng 17 người.
Các kết quả tổng hợp bao gồm hơn 5,8 triệu đô la tiền được thu hồi, 785 lỗ hổng bảo mật được báo cáo và 36 trường hợp xử lý sự cố.
Các điệp viên Triều Tiên đã đánh cắp hàng tỷ đô la tài sản tiền điện tử trong những năm gần đây . Các nhà nghiên cứu an ninh cảnh báo rằng việc nhân viên CNTT xâm nhập thường là bước đệm cho các cuộc tấn công chuỗi cung ứng lớn hơn do các nhóm tin tặc Triều Tiên phối hợp thực hiện.
