Cyberanalist slaat alarm: Noord-Korea infiltreert al jaren crypto-industrie

Noord-Koreaanse IT-werknemers zijn al jarenlang actief binnen de DeFi-sector en hebben mogelijk een directe rol gespeeld bij de ontwikkeling van bekende protocollen. Dat stelt cybersecurity-analist en MetaMask-ontwikkelaar Taylor Monahan. Zij spreekt van een structurele en langdurige infiltratie binnen de cryptowereld.

Noord-Koreaanse betrokkenheid bij DeFi-projecten

Volgens Monahan opereren deze Noord-Koreaanse ontwikkelaars al zeker zeven jaar binnen crypto- en blockchainprojecten. Ze zouden betrokken zijn geweest bij tientallen platforms en beschikken over ogenschijnlijk legitieme werkervaring. Daarmee zouden zij ongemerkt toegang hebben gekregen tot cruciale systemen binnen de sector.

Yuppppppp

Lots of DPRK IT Workers built the protocols you know and love, all the way back to defi summer

The “7 years blockchain dev experience” on their resume is not a lie. https://t.co/EQNgl5KhJ5

— Tay 💖 (@tayvano_) April 5, 2026

Monahan stelt dat meer dan 40 DeFi-platforms Noord-Koreaanse ontwikkelaars in hun teams hebben gehad. Volgens haar hebben deze personen actief bijgedragen aan de bouw van protocollen die vandaag de dag nog steeds worden gebruikt.

“Veel IT-werknemers uit de DPRK hebben de protocollen gebouwd die je kent en gebruikt,” aldus Monahan. De werkervaring die zij op hun cv vermelden, zou in veel gevallen authentiek zijn, wat detectie aanzienlijk bemoeilijkt.

De betrokkenheid van Noord-Korea binnen de cryptosector is niet nieuw. De beruchte Lazarus Group wordt al jaren in verband gebracht met grootschalige cyberaanvallen. Volgens analisten heeft deze groep sinds 2017 naar schatting 7 miljard dollar aan crypto gestolen.

Reportedly:

In 2026 Lazarus made 18 attacks on protocols in 3 months

Stolen funds are funding "North Korea's Nuclear Weapons"

It’s the most successful venture fund built on hacks

Here is the complete attack timeline 👇 https://t.co/GuNL4FTCqv pic.twitter.com/7YJzYrTEJj

— jussy (@jussy_world) April 5, 2026

Hacks en infiltratie via professionele dekmantels

De Lazarus Group, een verzamelnaam voor alle malafide cybergroepen met banden aan Noord-Korea, wordt verantwoordelijk gehouden voor meerdere grote hacks. Hieronder vallen de Ronin Bridge-hack van 625 miljoen dollar in 2022, de aanval op WazirX van 235 miljoen dollar in 2024 en de Bybit-hack van 1,4 miljard dollar in 2025.

Recent meldde ook Drift Protocol dat het met “middelhoge tot hoge zekerheid” denkt dat een aanval met een schade van 280 miljoen dollar is uitgevoerd door een aan Noord-Korea gelieerde groep. Daarbij zou gebruik zijn gemaakt van tussenpersonen met volledig opgebouwde identiteiten, inclusief werkervaring en professionele netwerken.

Ook binnen sollicitatieprocedures duiken signalen op. Zo verklaart Titan Exchange-oprichter Tim Ahhl dat zijn team ooit een kandidaat sprak die later gelinkt werd aan Lazarus. “Hij voerde videogesprekken en was extreem gekwalificeerd,” aldus Ahhl. Deze Noord-Koreaanse IT-werknemers zich vrijwel altijd voor als iemand met een andere nationaliteit.

Volgens het Amerikaanse Office of Foreign Assets Control (OFAC) kunnen cryptobedrijven risico’s beperken door grondige controles van tegenpartijen en het monitoren van verdachte patronen. Blockchain-onderzoeker ZachXBT benadrukt echter dat de aanvallen vaak niet bijzonder geavanceerd zijn: “De grootste kracht is hun volharding.”

Lazarus Group is the collective name for all DPRK state sponsored cyber actors.

The main issue is everyone groups them all together when the complexity of threats are different.

Threats via job postings, LinkedIn, email, Zoom, or interviews are basic and in no way… pic.twitter.com/NL8Jck5edN

— ZachXBT (@zachxbt) April 5, 2026