Das von der Ethereum Foundation geförderte Ketman-Projekt hat etwa 100 mutmaßliche nordkoreanische IT-Arbeiter in 53 Krypto-Projekten identifiziert, wie aus einem Rückblick des ETH Rangers Program am 16. April hervorgeht.
Diese sechs Monate lange Initiative, finanziert durch Stipendien des ETH Rangers Program der Ethereum Foundation, konzentrierte sich gezielt darauf, nordkoreanische Agenten zu erkennen und aus Web3-Organisationen zu entfernen, die unter falschen Identitäten eingedrungen waren.
Wie Nordkoreaner gefälschte Identitäten und falsche KYC-Dokumente verwenden
Eine aktuelle Untersuchung von Ketman beschreibt, wie mit Nordkorea verbundene Personen sich als japanische Entwickler auf der Web3-Freelancer-Plattform OnlyDust ausgaben.
Die Agenten verwendeten KI-generierte Profilbilder, erfundene Namen wie „Hiroto Iwaki” und „Motoki Masuo” und reichten bei der Verifizierung gefälschte japanische Dokumente ein.
Die Ermittler bestätigten den Betrug während eines Videoanrufs. Als ein Verdächtiger aufgefordert wurde, sich auf Japanisch vorzustellen, nahm er das Headset ab und verließ den Anruf.
Das Team konnte mindestens drei Cluster dieser Akteure in elf Repositorien nachverfolgen. Hier wurden 62 Pull Requests integriert, bevor der Betrug entdeckt wurde.
Open-Source-Tools und Branchenrahmen
Über Einzelfälle hinaus entwickelte Ketman das Open-Source-Tool gh-fake-analyzer zur Analyse von GitHub-Profilen, das jetzt auf PyPI verfügbar ist.
Das Projekt hat außerdem zusammen mit der Security Alliance (SEAL) den DPRK IT Workers Framework erstellt. Dieses gilt inzwischen als Standardreferenz in der Branche.
Das ETH Rangers Program, das Ende 2024 zusammen mit Secureum, The Red Guild und SEAL gestartet wurde, finanzierte insgesamt 17 Stipendiaten.
Zu den zentralen Ergebnissen gehören über 5,8 Millionen USD an wiederhergestellten Geldern, 785 gemeldete Schwachstellen und 36 bearbeitete Zwischenfälle.
Nordkoreanische Agenten haben in den vergangenen Jahren Milliarden in Krypto-Vermögenswerten gestohlen. Sicherheitsexperten warnen, dass das Einschleusen von IT-Arbeitern oft als Vorbereitung für größere Angriffe auf Lieferketten dient, die von nordkoreanischen Hacker-Gruppen koordiniert werden.
