Флаги Ketman, поддерживаемые Ethereum, свидетельствуют о широком распространении проникновения Северной Кореи в криптоиндустрию через найм специалистов

Новое расследование, поддерживаемое Фондом Ethereum, привлекло новое внимание к давней проблеме безопасности в криптовалюте: северокорейские операторы, выдающие себя за легитимных удаленных разработчиков. В недавнем обзоре ETH Rangers от Фонда Ethereum организация сообщила, что один из получателей гранта использовал stipend для создания и масштабирования Ketman, проекта по разведке угроз, сосредоточенного на выявлении IT-работников DPRK внутри блокчейн-проектов. В обзоре говорится, что команда связалась примерно с 53 проектами и выявила около 100 различных северокорейских IT-работников, действующих в рамках организаций Web3.

Обнаружение произошло после того, как крипто-комментатор Колин Ву отметил этот отчет в X, заявив, что обзор показал, что Ketman обнаружил около 100 хакеров из Северной Кореи, внедрившихся в криптопроекты. Пост Ву также указывал на сообщения о том, что операторы часто использовали поддельные японские удостоверения для получения удаленных работ в Web3, что соответствует паттерну, описанному в собственном отчете Ketman о проникновении на платформы фриланса.

Публичный отчет Ketman, опубликованный 16 апреля 2025 года, описывает, как расследование началось с подозрительного участника в репозитории легитимного разработчика и расширилось в более широкую сеть, связанную с экосистемой фрилансеров onlyDust. Исследователи отметили, что сначала они заметили манипуляции с историей аккаунтов, спам-активность, подозрительные изменения личности и другие тревожные признаки, а затем проследили эти аккаунты до более широкой сети участников, работающих в нескольких репозиториях. В отчете Ketman говорится, что он обнаружил участников, использующих множество псевдонимов, фальшивые личности и даже сфабрикованные документы в процессе найма.

Предупреждение о безопасности в криптовалюте

Одна из наиболее поразительных частей отчета Ketman — утверждение, что некоторые из подозреваемых представлялись японцами, несмотря на то, что исследователи в конечном итоге пришли к выводу, что они связаны с деятельностью, связанной с DPRK. В отчете говорится, что один субъект использовал несколько имен и утверждал, что он японец, а команда также упоминала поддельный японский документ, использованный в процессе проверки. Ketman отмечает, что подобное отмывание личности может помочь подозрительным участникам повысить доверие, собирать платежи и позже использовать этот опыт для перехода на более чувствительные роли.

Обзор Фонда Ethereum охарактеризовал эту работу как часть более широкой инициативы по обеспечению безопасности, а не как единичное расследование. В дополнение к выводам Ketman, резюме ETH Rangers сообщило, что общая программа восстановила или заморозила более 5,8 миллиона долларов, задокументировала более 785 уязвимостей и выявила примерно 100 государственных агентов по всему экосистеме. Этот контекст помогает понять, почему Фонд рассматривает этот тип угроз как серьезную операционную проблему для команд Web3, а не только как нишевую исследовательскую задачу.

Ketman также публично заявил, что команды должны более активно проверять удаленных сотрудников, включая видеозвонки и более тщательное изучение несоответствий в поведении или заявлениях об идентичности. В своем отчете проект отмечает, что документы KYC сами по себе недостаточны и рекомендует меры проверки, выходящие за рамки статической документации. Предупреждение актуально в год, когда власти США продолжают отмечать деятельность IT-работников из DPRK как развивающуюся угрозу, включая вымогательство данных и другие формы злоупотреблений, связанные с мошенничеством при удаленной работе.

Для крипто-стартапов главный вывод неприятен, но ясен. Внедрение северокорейских агентов уже не ограничивается только взломами на границе сети. Это также проблема найма, проверка подрядчиков и доверия внутри команд, полагающихся на удаленное сотрудничество. Выводы Ketman показывают, что поддельные резюме, отполированные истории на GitHub и убедительные интервью-персоны все еще могут пройти, если проекты не ужесточат процедуры проверки разработчиков перед предоставлением им доступа к коду, средствам или внутренним коммуникациям.