بنیاد اتریوم 100 عامل کره شمالی را در شرکت‌های Web3 کشف کرد

خلاصه

• عوامل کره شمالی به شرکت‌های وب 3 نفوذ می‌کنند؛ اتریوم 100 مورد را شناسایی کرد
• تحقیقات اتریوم توسعه‌دهندگان مخفی کره شمالی در کریپتو را آشکار می‌کند
• 100 توسعه‌دهنده مرتبط با کره شمالی در تیم‌های وب 3 شناسایی شدند
• شرکت‌های کریپتو با خطرات رو به رشد ناشی از نفوذ توسعه‌دهندگان کره شمالی مواجه هستند
• پروژه حمایت‌شده توسط اتریوم، حضور طولانی‌مدت کره شمالی در وب 3 را افشا می‌کند

بنیاد اتریوم یک نقض امنیتی بزرگ شامل عوامل مخفی در شرکت‌های وب 3 را فاش کرد. تحقیقات شش ماهه، 100 فرد مرتبط با کره شمالی را در تیم‌های کریپتو شناسایی کرد. یافته‌ها تهدید عملیاتی رو به رشدی را در سراسر اکوسیستم اتریوم برجسته می‌کنند.

تحقیقات نفوذ هماهنگ را در سراسر وب 3 آشکار می‌کند

بنیاد اتریوم از یک تحقیق ساختاریافته از طریق ابتکار ETH Rangers که در اواخر سال 2024 راه‌اندازی شد، حمایت کرد. این برنامه محققان مستقل متمرکز بر بهبود امنیت اکوسیستم از طریق تلاش‌های هدفمند کالاهای عمومی را تامین مالی کرد. در نتیجه، یک محقق تامین مالی شده پروژه Ketman را برای ردیابی فعالیت مشکوک توسعه‌دهندگان ایجاد کرد.

پروژه Ketman بر شناسایی توسعه‌دهندگان جعلی در سازمان‌های وب 3 که از هویت‌های لایه‌ای استفاده می‌کنند، متمرکز شد. طی شش ماه، این پروژه 100 فرد مرتبط با کره شمالی را که در شرکت‌های کریپتو فعالیت می‌کنند، شناسایی کرد. بازرسان با 53 پروژه که ممکن است ناآگاهانه این عوامل را استخدام کرده باشند، تماس گرفتند.

بنیاد تایید کرد که یافته‌ها یک خطر عملیاتی حیاتی را که محیط‌های توسعه مبتنی بر اتریوم را تحت تاثیر قرار می‌دهد، آشکار می‌کنند. این پروژه یک ابزار تشخیص منبع باز برای شناسایی الگوهای فعالیت مشکوک GitHub ساخت. این ابتکار تلاش‌ها را برای تقویت دفاع‌های امنیتی سطح اکوسیستم گسترش داد.

حضور طولانی‌مدت کره شمالی مرتبط با سوءاستفاده‌های بزرگ کریپتو

شواهد نشان می‌دهد که توسعه‌دهندگان مرتبط با کره شمالی طی چندین سال در تیم‌های کریپتو فعالیت کرده‌اند. این افراد در پروژه‌ها مشارکت کردند در حالی که هویت خود را از طریق خروجی فنی معتبر پنهان می‌کردند. تحلیلگران بسیاری از عملیات را به گروه لازاروس، یک گروه هک کردن حمایت‌شده توسط دولت، ردیابی کردند.

گزارش‌ها تخمین می‌زنند که گروه‌های مرتبط با کره شمالی از سال 2017 حدود 7 میلیارد دلار از پلتفرم‌های کریپتو سرقت کرده‌اند. این حوادث شامل نقض‌های برجسته‌ای مانند سوءاستفاده از پل Ronin و حمله WazirX است. مقیاس آسیب منعکس‌کننده فعالیت سایبری پایدار و سازمان‌یافته است.

محققان امنیتی اشاره کردند که این توسعه‌دهندگان اغلب با وجود هویت‌های جعلی، تجربه واقعی بلاک چین دارند. بسیاری از پروتکل‌ها در سراسر اکوسیستم DeFi قبلاً به چنین مشارکت‌کنندگانی تکیه می‌کردند. نفوذ فراتر از موارد جداگانه به قرار گرفتن در معرض زیرساخت‌های گسترده‌تر امتداد می‌یابد.

تاکتیک‌های ابتدایی عملیات پایدار و موثر را ممکن می‌سازند

بازرسان دریافتند که بسیاری از روش‌های نفوذ بر تاکتیک‌های ساده اما پایدار تکیه می‌کنند. اینها شامل درخواست‌های شغلی، تماس از طریق LinkedIn و مصاحبه‌های از راه دور برای جلب اعتماد در تیم‌ها است. در نتیجه، عوامل به تدریج خود را در جریان‌های کاری توسعه جای می‌دهند.

پروژه Ketman علائم هشدار رایج را در پروفایل‌های توسعه‌دهنده و رفتارهای سیستم شناسایی کرد. اینها شامل آواتارهای استفاده مجدد شده، تنظیمات زبان متناقض و افشای حساب‌های ایمیل نامرتبط است. ناسازگاری‌ها اغلب در طول اشتراک‌گذاری صفحه نمایش یا بررسی‌های فعالیت مخزن ظاهر می‌شوند.

این پروژه با اتحادیه امنیتی برای توسعه چارچوبی برای شناسایی مشارکت‌کنندگان مشکوک همکاری کرد. این ابتکار قابلیت‌های تشخیص را از طریق اطلاعات مشترک در سراسر صنعت تقویت کرد. سازمان‌ها اکنون ابزارهای واضح‌تری برای کاهش قرار گرفتن در معرض تهدیدات مخفی دارند.

پست بنیاد اتریوم 100 عامل کره شمالی را در شرکت‌های وب 3 کشف می‌کند برای اولین بار در CoinCentral ظاهر شد.