Стипендіат Ethereum Foundation ідентифікував 100 IT-агентів КНДР у Web3-компаніях
Проєкт Ketman, який отримав стипендію в межах програми ETH Rangers, за шість місяців ідентифікував сотню північнокорейських IT-фахівців, що працювали в криптокомпаніях під вигаданими особистостями.
Програма ETH Rangers завершена, і результати говорять самі за себе: відновлено понад $5,8 млн, повідомлено про 785+ вразливостей, ідентифіковано 100+ оперативників КНДР та багато іншого.
Децентралізована оборона для децентралізованої мережі.
Читайте повний підсумок
— EF Ecosystem Support Program (@EF_ESP) April 16, 2026
Організація Ethereum Foundation опублікувала звіт щодо програми ETH Rangers — ініціативи, запущеної наприкінці 2024 року для фінансування незалежних дослідників, які займаються безпекою екосистеми.
Один із стипендіатів спрямував кошти на створення проєкту Ketman, що спеціалізується на пошуку «фіктивних розробників» у криптоіндустрії. Дослідники сфокусувалися на операціях, що підтримуються КНДР.
Північнокорейські IT-фахівці роками влаштовуються у Web3-компанії під підставними особистостями, отримують зарплату та водночас забезпечують розвідку й потенційний доступ до інфраструктури проєктів. За найгучнішими операціями стоїть угруповання Lazarus Group.
За шість місяців роботи команда Ketman задокументувала 100 операторів КНДР, які активно діяли всередині Web3-організацій, і повідомила 53 проєкти про ймовірну присутність у їхніх штатах діючих агентів.
Згідно з матеріалами, опублікованими на сайті Ketman, експерти орієнтувалися на виявлені особливості «тактики, поведінки та оперативні моделі», притаманні північнокорейським IT-операторам, зокрема:
- повторне використання аватарів і метаданих профілю на кількох акаунтах GitHub під різними іменами;
- випадкове розкриття непов’язаних адрес електронної пошти під час спільного використання екрана на дзвінках;
- налаштування системної мови за замовчуванням, що суперечать заявленому громадянству;
- специфічні поведінкові патерни в комунікації та нетипові години роботи для зазначеного часового поясу.
Детально методологію виявлення агентів КНДР у проєкті та Ethereum Foundation не розкрили.
Окрім розслідувальної роботи, у Ketman розробили інструмент з відкритим кодом для автоматичного виявлення підозрілої активності на GitHub. Також спільно з некомерційною організацією Security Alliance створено галузевий стандарт верифікації — фреймворк для ідентифікації IT-працівників КНДР під час найму.
«Ця робота безпосередньо усуває одну з найбільш гострих загроз операційній безпеці, з якими сьогодні стикається екосистема Ethereum», — йдеться у звіті Ethereum Foundation за підсумками ETH Rangers.
У межах ініціативи загалом фонд підтримав 17 стипендіатів. Їхня діяльність охоплювала широкий спектр: від дослідження вразливостей і інструментів безпеки до освіти, аналізу загроз і реагування на інциденти.
Нагадаємо, 1 квітня DeFi-платформа Drift Protocol на базі Solana зазнала зламу на $280 млн. За висновками команди проєкту та експертів із кібербезпеки, за атакою стоять хакери з КНДР.