Il Ketman Project, finanziato dalla Ethereum Foundation, ha identificato circa 100 presunti lavoratori IT nordcoreani attivi in 53 progetti crypto, secondo quanto riportato in un riepilogo dell’ETH Rangers Program pubblicato il 16 aprile.
L’iniziativa di sei mesi, sostenuta tramite stipendi erogati dall’ETH Rangers Program della Ethereum Foundation, si è concentrata specificamente sull’individuazione ed espulsione di operatori della Corea del Nord infiltrati in organizzazioni Web3 con identità fittizie.
Come i nordcoreani usano identità false e documenti KYC contraffatti
Una recente indagine di Ketman ha spiegato in dettaglio come operatori collegati alla Corea del Nord si sono finti sviluppatori giapponesi sulla piattaforma freelance Web3 OnlyDust.
Gli operatori hanno usato foto profilo generate tramite intelligenza artificiale, nomi di fantasia come “Hiroto Iwaki” e “Motoki Masuo” e hanno presentato documenti di identità giapponesi contraffatti durante la procedura di verifica.
Gli investigatori hanno confermato la frode durante una videochiamata, quando a un sospetto, invitato a presentarsi in giapponese, ha tolto le cuffie e ha lasciato la chiamata.
Il team ha rintracciato almeno tre gruppi di operatori in 11 repository dove erano state accettate 62 pull request prima di essere scoperti.
Strumenti open-source e quadro di riferimento per il settore
Oltre alle singole indagini, Ketman ha sviluppato gh-fake-analyzer, uno strumento open-source di analisi dei profili GitHub ora disponibile su PyPI.
Il progetto ha anche co-redatto, insieme alla Security Alliance (SEAL), il DPRK IT Workers Framework, che è diventato un riferimento di settore.
L’ETH Rangers Program, lanciato alla fine del 2024 insieme a Secureum, The Red Guild e SEAL, ha finanziato in totale 17 beneficiari di stipendio.
I risultati complessivi comprendono oltre 5,8 milioni di dollari recuperati, 785 vulnerabilità segnalate e 36 incidenti gestiti.
Operatori nordcoreani hanno rubato miliardi in asset crypto negli ultimi anni. I ricercatori di sicurezza avvertono che l’infiltrazione da parte di lavoratori IT spesso rappresenta un primo passo per attacchi alla supply chain di più ampia portata, orchestrati da team di hacker della Corea del Nord.
