Ketman-projektet, som er finansieret af Ethereum Foundation, har identificeret cirka 100 mistænkte nordkoreanske IT-arbejdere, der opererer i 53 kryptoprojekter, ifølge et resumé fra ETH Rangers Program offentliggjort den 16. april.
Det seks måneder lange initiativ, støttet via stipendier fra Ethereum Foundation’s ETH Rangers Program, fokuserede specifikt på at opdage og udvise DPRK-operatører, som havde infiltreret Web3-organisationer under falske identiteter.
Sådan bruger nordkoreanere falske identiteter og forfalskede KYC-dokumenter
En nylig undersøgelse fra Ketman beskrev, hvordan DPRK-tilknyttede aktører udgav sig for at være japanske udviklere på Web3-freelanceplatformen OnlyDust.
Disse personer brugte AI-genererede profilbilleder, opdigtede navne som “Hiroto Iwaki” og “Motoki Masuo,” og indsendte falske japanske ID-dokumenter under verifikation.
Undersøgerne bekræftede svindlen under et videoopkald, hvor en formodet gerningsmand, da han blev bedt om at præsentere sig på japansk, tog sit headset af og forlod opkaldet.
Teamet sporede mindst tre aktørgrupper på tværs af 11 repositories, hvor 62 pull requests blev flettet sammen før opdagelsen.
Open source-værktøjer og branche-standarder
Ud over enkelte undersøgelser udviklede Ketman gh-fake-analyzer – et open source-analyseværktøj til GitHub-profiler, som nu findes på PyPI.
Projektet var også medforfatter på DPRK IT Workers Framework sammen med Security Alliance (SEAL), der er blevet standard reference i branchen.
ETH Rangers Program, som blev lanceret i slutningen af 2024 sammen med Secureum, The Red Guild og SEAL, finansierede i alt 17 stipendiemodtagere.
Samlede resultater omfattede over 5,8 millioner dollars i genfundne midler, 785 indrapporterede sårbarheder og håndtering af 36 hændelser.
Nordkoreanske operatører har stjålet milliardbeløb i kryptoaktiver de seneste år. Sikkerhedsforskere advarer om, at infiltration af IT-arbejdere ofte er et skridt mod større angreb på leverandørkæder, som koordineres af DPRK’s hacking-grupper.
