มูลนิธิ Ethereum เปิดเผยพบเจ้าหน้าที่ DPRK 100 รายในบริษัท Web3

สรุปสั้น

• สายลับเกาหลีเหนือแทรกซึมเข้าสู่บริษัท Web3 ขณะที่ Ethereum พบ 100 ราย
• การสอบสวนของ Ethereum เปิดเผยนักพัฒนาเกาหลีเหนือที่ซ่อนตัวในวงการคริปโต
• พบนักพัฒนาที่เชื่อมโยงกับเกาหลีเหนือ 100 รายแทรกซึมอยู่ในทีม Web3
• บริษัทคริปโตเผชิญความเสี่ยงที่เพิ่มขึ้นจากการแทรกซึมของนักพัฒนาเกาหลีเหนือ
• โครงการที่ได้รับการสนับสนุนจาก Ethereum เปิดเผยการมีอยู่ระยะยาวของเกาหลีเหนือใน Web3

มูลนิธิ Ethereum เปิดเผยช่องโหว่ด้านความปลอดภัยครั้งใหญ่ที่เกี่ยวข้องกับสายลับที่ซ่อนตัวอยู่ในบริษัท Web3 การสอบสวนเป็นเวลาหกเดือนระบุบุคคล 100 รายที่เชื่อมโยงกับเกาหลีเหนือภายในทีมคริปโต ผลการค้นพบนี้เน้นย้ำถึงภัยคุกคามทางปฏิบัติการที่เพิ่มขึ้นทั่วทั้งระบบนิเวศ Ethereum

การสอบสวนเปิดเผยการแทรกซึมอย่างมีแผนการทั่วทั้ง Web3

มูลนิธิ Ethereum สนับสนุนการสอบสวนที่มีโครงสร้างผ่านโครงการ ETH Rangers ที่เปิดตัวในปลายปี 2024 โปรแกรมนี้ให้ทุนแก่นักวิจัยอิสระที่มุ่งเน้นการปรับปรุงความปลอดภัยของระบบนิเวศผ่านความพยายามด้านสาธารณะสินค้าที่มีเป้าหมาย ผลที่ได้คือนักวิจัยที่ได้รับทุนรายหนึ่งสร้างโครงการ Ketman เพื่อติดตามกิจกรรมที่น่าสงสัยของนักพัฒนา

โครงการ Ketman มุ่งเน้นการระบุนักพัฒนาปลอมภายในองค์กร Web3 ที่ใช้ตัวตนหลายชั้น ในช่วงหกเดือน โครงการได้ทำเครื่องหมายบุคคล 100 รายที่เชื่อมโยงกับเกาหลีเหนือที่ปฏิบัติการในบริษัทคริปโต ผู้สอบสวนติดต่อโครงการ 53 โครงการที่อาจจ้างสายลับเหล่านี้โดยไม่รู้ตัว

มูลนิธิยืนยันว่าผลการค้นพบเปิดเผยความเสี่ยงทางปฏิบัติการที่สำคัญที่ส่งผลกระทบต่อสภาพแวดล้อมการพัฒนาที่ใช้ Ethereum โครงการสร้างเครื่องมือตรวจจับโอเพนซอร์สเพื่อทำเครื่องหมายรูปแบบกิจกรรม GitHub ที่น่าสงสัย โครงการขยายความพยายามเพื่อเสริมสร้างการป้องกันความปลอดภัยในระดับระบบนิเวศ

การมีอยู่ของเกาหลีเหนือมาอย่างยาวนานเชื่อมโยงกับการโจมตีคริปโตครั้งใหญ่

หลักฐานแสดงว่านักพัฒนาที่เชื่อมโยงกับเกาหลีเหนือได้ปฏิบัติการภายในทีมคริปโตมาเป็นเวลาหลายปี บุคคลเหล่านี้มีส่วนร่วมในโครงการในขณะที่ปกปิดตัวตนผ่านผลงานทางเทคนิคที่น่าเชื่อถือ นักวิเคราะห์ติดตามการปฏิบัติการจำนวนมากไปยังกลุ่ม Lazarus ซึ่งเป็นกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐ

รายงานประเมินว่ากลุ่มที่เชื่อมโยงกับเกาหลีเหนือได้ขโมยประมาณ 7 พันล้านดอลลาร์จากแพลตฟอร์มคริปโตตั้งแต่ปี 2017 เหตุการณ์เหล่านี้รวมถึงการโจมตีที่มีชื่อเสียงสูง เช่น การโจมตี Ronin Bridge และการโจมตี WazirX ขนาดของความเสียหายสะท้อนถึงกิจกรรมไซเบอร์ที่ต่อเนื่องและมีการจัดองค์กร

นักวิจัยด้านความปลอดภัยระบุว่านักพัฒนาเหล่านี้มักมีประสบการณ์บล็อกเชนที่แท้จริงแม้จะใช้ตัวตนปลอม โปรโตคอลจำนวนมากทั่วทั้งระบบนิเวศ DeFi เคยพึ่งพาผู้มีส่วนร่วมดังกล่าว การแทรกซึมขยายเกินกรณีที่แยกออกไปสู่การเปิดเผยโครงสร้างพื้นฐานที่กว้างขึ้น

กลยุทธ์พื้นฐานเอื้อให้เกิดการปฏิบัติการที่ยืนยงและมีประสิทธิภาพ

ผู้สอบสวนพบว่าวิธีการแทรกซึมจำนวนมากอาศัยกลยุทธ์ที่เรียบง่ายแต่ยืนยง สิ่งเหล่านี้รวมถึงการสมัครงาน การติดต่อผ่าน LinkedIn และการสัมภาษณ์ทางไกลเพื่อสร้างความไว้วางใจภายในทีม ผลที่ได้คือสายลับค่อยๆ แทรกซึมเข้าสู่ขั้นตอนการพัฒนา

โครงการ Ketman ระบุสัญญาณเตือนทั่วไปในโปรไฟล์นักพัฒนาและพฤติกรรมของระบบ สิ่งเหล่านี้รวมถึงการใช้อวตารซ้ำ การตั้งค่าภาษาที่ขัดแย้งกัน และการเปิดเผยบัญชีอีเมลที่ไม่เกี่ยวข้อง ความไม่สอดคล้องมักปรากฏในระหว่างการแชร์หน้าจอหรือการตรวจสอบกิจกรรมในที่เก็บข้อมูล

โครงการร่วมมือกับ Security Alliance เพื่อพัฒนากรอบสำหรับการระบุผู้มีส่วนร่วมที่น่าสงสัย โครงการเสริมสร้างความสามารถในการตรวจจับผ่านการแบ่งปันข่าวกรองทั่วทั้งอุตสาหกรรม องค์กรต่างๆ ตอนนี้มีเครื่องมือที่ชัดเจนยิ่งขึ้นเพื่อลดการเปิดเผยต่อภัยคุกคามที่ซ่อนอยู่

โพสต์ มูลนิธิ Ethereum เปิดเผยสายลับเกาหลีเหนือ 100 รายในบริษัท Web3 ปรากฏครั้งแรกบน CoinCentral