Ethereum Foundation-Programm identifiziert 100 mit der DVRK verbundene Krypto-Mitarbeiter

Ein Open-Source-Erkennungstool und ein branchenübliches Identifikations-Framework – das waren einige der Ergebnisse eines einzelnen Forschers, der an einem sechsmonatigen Stipendium arbeitete.

Die von der Ethereum Foundation veröffentlichten Ergebnisse stammten aus einem Programm namens ETH Rangers, das Ende 2024 eingerichtet wurde, um Sicherheitsarbeiten zu finanzieren, die dem breiteren Krypto-Ökosystem zugutekommen.

Ein Forscher, ein Stipendium, 100 Operative

Einer der Stipendiaten nutzte die Finanzierung, um das Ketman-Projekt aufzubauen, eine Untersuchung, die sich auf gefälschte Entwickleridentitäten in Krypto-Unternehmen konzentrierte.

Über sechs Monate hinweg spürte das Projekt 100 nordkoreanische IT-Arbeiter auf, die in Web3-Organisationen eingebettet waren. Etwa 53 Projekte wurden kontaktiert und gewarnt, dass sie möglicherweise aktive Operative eingestellt haben, die mit der Demokratischen Volksrepublik Korea verbunden sind.

Die Ethereum Foundation beschrieb die Bedrohung als „eine der dringendsten operativen Sicherheitsbedrohungen, denen das Ethereum-Ökosystem heute gegenübersteht".

Die Website des Ketman-Projekts legt die Taktiken dar, die diese Arbeiter anwenden – Verhaltensmuster, technische Gewohnheiten und Identitätstricks, die es ihnen ermöglichen, sich als legitime Entwickler auszugeben.

Einige der Warnsignale sind überraschend einfach. Arbeiter wurden dabei erwischt, wie sie dieselben Profilfotos und Metadaten über verschiedene GitHub-Konten hinweg wiederverwendeten.

Während Bildschirmfreigabe-Sitzungen wurden versehentlich nicht verknüpfte E-Mail-Adressen offengelegt. In einigen Fällen verrieten Gerätespracheinstellungen – auf Russisch eingestellt – Identitäten, die den behaupteten Nationalitäten widersprachen.

Wie Operative gefasst wurden

Das Ketman-Projekt hat nicht nur Einzelpersonen identifiziert. Es baute Infrastruktur auf. Ein Open-Source-Tool wurde entwickelt, um ungewöhnliche GitHub-Aktivitäten zu kennzeichnen, die mit verdächtigen Konten verbunden sind.

Ein separates Framework zur Identifizierung von DPRK-verbundenen Arbeitern wurde gemeinsam mit der Security Alliance verfasst, einer gemeinnützigen Organisation, die sich auf Blockchain-Sicherheit konzentriert. Beide Ressourcen stehen jetzt anderen Organisationen zur Verfügung.

Berichte deuten darauf hin, dass die Ethereum Foundation die spezifischen Methoden, die zur Enttarnung der Operativen verwendet wurden, über das hinaus, was die eigenen Veröffentlichungen des Ketman-Projekts beschreiben, nicht offengelegt hat. Die Website des Projekts bietet jedoch detaillierte Berichte über die operativen Muster, die die Arbeiter verrieten.

Nordkoreas Präsenz im Krypto-Bereich ist nicht neu. Staatlich verbundene Hackergruppen, einschließlich der bekannten Lazarus-Gruppe, wurden mit einigen der größten Diebstähle in der Geschichte der Branche in Verbindung gebracht.

Berichten zufolge wurden im Laufe der Jahre digitale Vermögenswerte im Wert von Milliarden Dollar von nordkoreanischen Akteuren gestohlen.

Das ETH Rangers-Programm wurde speziell geschaffen, um Sicherheitslücken durch stipendienfinanzierte Personen zu schließen, die im öffentlichen Interesse arbeiten.

Das Ketman-Projekt stellt eines seiner ersten öffentlich dokumentierten Ergebnisse dar. Ob andere Stipendiaten ähnliche Ergebnisse erzielt haben, wurde nicht bekannt gegeben.

Hervorgehobenes Bild von Chief Learning Officer, Diagramm von TradingView