Стипендіат Ethereum Foundation ідентифікував 100 IT-агентів КНДР у Web3-компаніях

Проєкт Ketman, який отримав стипендію в межах програми ETH Rangers, за шість місяців ідентифікував сотню північнокорейських IT-фахівців, що працювали в криптокомпаніях під вигаданими особистостями.

Програма ETH Rangers завершена, і результати говорять самі за себе: відновлено понад $5,8 млн, повідомлено про 785+ вразливостей, ідентифіковано 100+ оперативників КНДР та багато іншого.

Децентралізована оборона для децентралізованої мережі.

Читайте повний підсумок

— EF Ecosystem Support Program (@EF_ESP) April 16, 2026

Організація Ethereum Foundation опублікувала звіт щодо програми ETH Rangers — ініціативи, запущеної наприкінці 2024 року для фінансування незалежних дослідників, які займаються безпекою екосистеми.

Один із стипендіатів спрямував кошти на створення проєкту Ketman, що спеціалізується на пошуку «фіктивних розробників» у криптоіндустрії. Дослідники сфокусувалися на операціях, що підтримуються КНДР.

Північнокорейські IT-фахівці роками влаштовуються у Web3-компанії під підставними особистостями, отримують зарплату та водночас забезпечують розвідку й потенційний доступ до інфраструктури проєктів. За найгучнішими операціями стоїть угруповання Lazarus Group.

За шість місяців роботи команда Ketman задокументувала 100 операторів КНДР, які активно діяли всередині Web3-організацій, і повідомила 53 проєкти про ймовірну присутність у їхніх штатах діючих агентів.

Згідно з матеріалами, опублікованими на сайті Ketman, експерти орієнтувалися на виявлені особливості «тактики, поведінки та оперативні моделі», притаманні північнокорейським IT-операторам, зокрема:

• повторне використання аватарів і метаданих профілю на кількох акаунтах GitHub під різними іменами;
• випадкове розкриття непов’язаних адрес електронної пошти під час спільного використання екрана на дзвінках;
• налаштування системної мови за замовчуванням, що суперечать заявленому громадянству;
• специфічні поведінкові патерни в комунікації та нетипові години роботи для зазначеного часового поясу.

Детально методологію виявлення агентів КНДР у проєкті та Ethereum Foundation не розкрили.

Окрім розслідувальної роботи, у Ketman розробили інструмент з відкритим кодом для автоматичного виявлення підозрілої активності на GitHub. Також спільно з некомерційною організацією Security Alliance створено галузевий стандарт верифікації — фреймворк для ідентифікації IT-працівників КНДР під час найму.

«Ця робота безпосередньо усуває одну з найбільш гострих загроз операційній безпеці, з якими сьогодні стикається екосистема Ethereum», — йдеться у звіті Ethereum Foundation за підсумками ETH Rangers.

У межах ініціативи загалом фонд підтримав 17 стипендіатів. Їхня діяльність охоплювала широкий спектр: від дослідження вразливостей і інструментів безпеки до освіти, аналізу загроз і реагування на інциденти.

Нагадаємо, 1 квітня DeFi-платформа Drift Protocol на базі Solana зазнала зламу на $280 млн. За висновками команди проєкту та експертів із кібербезпеки, за атакою стоять хакери з КНДР.