Ethereum Foundation-projektet Ketman har hittat cirka 100 misstänkta nordkoreanska IT-arbetare som arbetar inom 53 kryptoprojekt, enligt en sammanfattning från ETH Rangers Program publicerad den 16 april.
Initiativet pågick i sex månader och fick stöd av ETH Rangers Program från Ethereum Foundation. Gruppen fokuserade på att hitta och utesluta DPRK-operatörer som tog sig in i Web3-organisationer med påhittade identiteter.
Hur nordkoreaner använder falska identiteter och förfalskade KYC-dokument
En ny Ketman-utredning visar hur personer med koppling till DPRK utgav sig för att vara japanska utvecklare på Web3-plattformen OnlyDust.
De använde AI-genererade profilbilder, påhittade namn som “Hiroto Iwaki” och “Motoki Masuo” och skickade in förfalskade japanska ID-handlingar vid verifiering.
Utredarna avslöjade bluffen under ett videosamtal. När en misstänkt skulle presentera sig på japanska tog han av sig sitt headset och lämnade samtalet.
Teamet hittade minst tre grupper bland 11 kodförråd, där 62 pull requests hann bli godkända innan upptäckten.
Öppna verktyg och branschramverk
Utöver undersökningarna utvecklade Ketman gh-fake-analyzer, ett öppet verktyg för att granska GitHub-profiler. Verktyget finns nu på PyPI.
Projektet tog också fram DPRK IT Workers Framework tillsammans med Security Alliance (SEAL), som nu ses som ett standardramverk i branschen.
ETH Rangers Program startade i slutet av 2024 tillsammans med Secureum, The Red Guild och SEAL. Programmet finansierade totalt 17 stipendiater.
Bland resultaten ingår att över 5,8 miljoner USD återhämtades, 785 sårbarheter rapporterades och 36 incidenter hanterades.
Nordkoreanska operatörer har stulit kryptotillgångar värda miljarder USD de senaste åren. Säkerhetsforskare varnar för att infiltration av IT-arbetare ofta leder till större attacker som DPRK:s hackargrupper samordnar.
