100 Noord-Koreanen werken stiekem in de crypto sector
De Ethereum Foundation heeft een grootschalige infiltratie van Noord-Koreaanse werknemers binnen de cryptosector blootgelegd. Via een intern gefinancierd programma werden tientallen nep ontwikkelaars geïdentificeerd die actief waren bij Web3-bedrijven.
Onderzoek naar nepontwikkelaars binnen Web3
Eind 2024 werd het zogeheten ETH Rangers-programma gelanceerd. Dit programma verstrekt financiële steun aan individuen die zich richten op publieke beveiligingsinitiatieven binnen het ecosysteem van Ethereum (ETH). Een van de ontvangers gebruikte deze middelen om het Ketman Project op te zetten.
Het Ketman Project richtte zich specifiek op het opsporen van frauduleuze ontwikkelaars, met nadruk op Noord-Koreaanse IT-medewerkers. Gedurende de subsidieperiode identificeerde het project in totaal 100 individuen die onder valse identiteiten actief waren binnen Web3-organisaties.
Daarnaast werden circa 53 projecten benaderd met waarschuwingen dat zij mogelijk onbewust Noord-Koreaanse werknemers in dienst hadden. Volgens de Ethereum Foundation pakt dit initiatief “direct een van de meest urgente operationele beveiligingsdreigingen aan waar het Ethereum-ecosysteem vandaag mee te maken heeft.”
Noord-Koreaanse actoren vormen al jaren een risico voor de sector en worden in verband gebracht met grootschalige diefstallen van digitale activa. Een van de bekendste groepen is de beruchte Lazarus Group, die verantwoordelijk wordt gehouden voor meerdere grote hacks. Soms wordt Lazarus Group gebruikt als synoniem voor alle hack-organisaties met banden met Noord-Korea.
Tactieken en detectiemethoden blootgelegd
Hoewel de Ethereum Foundation geen exacte details gaf over de identificatiemethoden, publiceerde het Ketman Project uitgebreide analyses van gebruikte tactieken en gedragingen van Noord-Koreanen. Daarin worden onder meer technische signalen genoemd die kunnen wijzen op frauduleuze activiteiten.
Voorbeelden hiervan zijn het hergebruik van profielfoto’s en metadata over meerdere GitHub-accounts, het per ongeluk tonen van niet-gekoppelde e-mailadressen tijdens schermdeling en afwijkende taalinstellingen die niet overeenkomen met de opgegeven nationaliteit.
Naast het onderzoek ontwikkelde het project ook een open-source tool om verdachte GitHub-activiteit te detecteren. Bovendien werkte het samen met de Security Alliance aan een industrieel raamwerk voor het herkennen van Noord-Koreaanse IT-medewerkers binnen de cryptosector.
