Het door de Ethereum Foundation gefinancierde Ketman Project heeft ongeveer 100 vermoedelijke Noord-Koreaanse IT-werknemers geïdentificeerd die actief zijn bij 53 crypto-projecten. Dit blijkt uit een ETH Rangers Program-overzicht gepubliceerd op 16 april.
Het zes maanden durende initiatief, mogelijk gemaakt door vergoedingen vanuit het ETH Rangers Program van de Ethereum Foundation, richtte zich speciaal op het opsporen en verwijderen van Noord-Koreaanse medewerkers die zich onder valse identiteiten bij Web3-organisaties hadden binnengewerkt.
Hoe Noord-Koreanen valse identiteiten en nep KYC-documenten gebruiken
Een recente onderzoeksrapport van Ketman laat zien hoe door Noord-Korea gesteunde personen zich voordeden als Japanse ontwikkelaars op het Web3-freelanceplatform OnlyDust.
De betrokkenen gebruikten door AI gegenereerde profielfoto’s, verzonnen namen zoals “Hiroto Iwaki” en “Motoki Masuo”, en leverden vervalste Japanse identiteitsdocumenten aan voor verificatie.
Onderzoekers bevestigden de misleiding tijdens een videogesprek. Toen een verdachte in het Japans zichzelf moest voorstellen, deed hij zijn headset af en verliet het gesprek.
Het team vond minstens drie groepen van deze actoren terug in 11 repositories, waar 62 pull requests werden samengevoegd voordat ze werden ontdekt.
Open-source tools en industrie framework
Naast individuele onderzoeken heeft Ketman de gh-fake-analyzer ontwikkeld, een open-source analyse tool voor GitHub-profielen, die nu beschikbaar is op PyPI.
Het project heeft samen met de Security Alliance (SEAL) ook het DPRK IT Workers Framework opgesteld. Dit framework wordt nu als standaard gebruikt binnen de sector.
Het ETH Rangers Program, dat eind 2024 samen met Secureum, The Red Guild en SEAL werd gelanceerd, ondersteunde in totaal 17 ontvangers van een toelage.
De gezamenlijke resultaten waren onder andere meer dan $5,8 miljoen aan teruggevonden geld, 785 gemelde kwetsbaarheden en 36 incidenten die zijn opgepakt.
Noord-Koreaanse medewerkers hebben de afgelopen jaren voor miljarden aan crypto-assets gestolen. Veiligheidsonderzoekers waarschuwen dat de infiltratie van IT-werknemers vaak een opstap is naar grotere aanvallen op de supply chain, uitgevoerd door Noord-Koreaanse hacking-teams.
