Si presume che alcuni presunti agenti nordcoreani stiano utilizzando false domande di lavoro per infiltrarsi nei progetti web3, sottraendo milioni di dollari e sollevando preoccupazioni in materia di sicurezza.

Negli ultimi anni, blockchain e sito web3 sono stati all’avanguardia dell’innovazione tecnologica. Tuttavia, per parafrasare una citazione, con una grande innovazione arriva un grande rischio.

Recenti rivelazioni hanno portato alla luce un sofisticato schema messo in atto da agenti sospettati di essere affiliati alla Repubblica Popolare Democratica di Corea per infiltrarsi nel settore attraverso false domande di lavoro, sollevando allarmi sulla sicurezza e l’integrità del settore.

Motivi economici e strategie informatiche

L’economia della Corea del Nord è stata gravemente paralizzata dalle sanzioni internazionali, che limitano il suo accesso a risorse cruciali, limitano le opportunità commerciali e ostacolano la sua capacità di partecipare a transazioni finanziarie globali.

In risposta, il regime ha utilizzato vari metodi per aggirare queste sanzioni, tra cui pratiche di spedizione illecite, contrabbando e scavo di tunnel, nonché il ricorso a società di comodo e banche straniere per condurre transazioni indirettamente.

Tuttavia, uno dei metodi meno convenzionali della RPDC aumentare le entrate è l’uso segnalato di un sofisticato programma di guerra informatica che presumibilmente conduce attacchi informatici contro istituzioni finanziarie, exchange di criptovalute e altri obiettivi.

L’industria delle criptovalute è stata una delle vittime più grandi delle presunte operazioni informatiche di questo stato canaglia, con un rapporto TRM di inizio anno che indicava che le criptovalute avevano perso almeno 600 milioni di dollari alla Corea del Nord solo nel 2023.

In totale, il rapporto afferma che la Corea del Nord è responsabile del furto di criptovalute per un valore sbalorditivo di 3 miliardi di dollari dal 2017.

Quantità di criptovalute rubate da attori legati alla Corea del Nord tra il 2017 e il 2023 | Fonte: Laboratori TRM

Poiché le criptovalute sembrano essere un obiettivo facile e redditizio, sono emerse segnalazioni di attori legati alla RPDC che stanno intensificando i controlli infiltrandosi nel settore tramite false domande di lavoro.

Una volta assunti, questi agenti sono in una posizione migliore per rubare e sottrarre fondi per sostenere la Corea del Nord. nucleare programma di armamenti e aggirare le restrizioni finanziarie globali ad esso imposte.

Il modus operandi: le false candidature

Stando alle storie riportate dai media e alle informazioni fornite dalle agenzie governative, sembrerebbe che gli agenti della RPDC abbiano perfezionato l’arte dell’inganno, creando false identità e curriculum per assicurarsi lavori da remoto in aziende di criptovalute e blockchain in tutto il mondo.

Un Axios storia di maggio 2024 ha evidenziato come gli specialisti IT nordcoreani stessero manipolando le pratiche di assunzione americane per infiltrarsi nel settore tecnologico del Paese.

Axios ha affermato che gli agenti nordcoreani utilizzano documenti falsi e identità false, spesso mascherando le loro vere posizioni con VPN. Inoltre, la storia sosteneva che questi potenziali cattivi attori prendevano di mira principalmente ruoli sensibili nel settore blockchain, tra cui sviluppatori, specialisti IT e analisti della sicurezza.

300 aziende colpite dalla truffa delle false candidature per il lavoro da remoto

La portata di questo inganno è vasta, con il Dipartimento di Giustizia degli Stati Uniti recentemente rivelatore che più di 300 aziende statunitensi sono state indotte ad assumere nordcoreani tramite una truffa su larga scala basata sul lavoro da remoto.

Questi truffatori non solo hanno ricoperto posizioni nel settore blockchain e web3, ma hanno anche tentato di infiltrarsi in settori più sicuri e sensibili, tra cui le agenzie governative.

Secondo il Dipartimento di Giustizia, gli agenti nordcoreani hanno utilizzato identità americane rubate per spacciarsi per professionisti della tecnologia nazionale, generando milioni di dollari di entrate per il loro Paese in difficoltà.

È interessante notare che uno degli ideatori del piano era una donna dell’Arizona, Christina Marie Chapman, che avrebbe facilitato il collocamento di questi lavoratori creando una rete di cosiddette “fattorie di laptop” negli Stati Uniti.

Si dice che queste truffe abbiano permesso ai truffatori di apparire come se lavorassero negli Stati Uniti, ingannando così numerose aziende, tra cui diverse società Fortune 500.

Incidenti e indagini degni di nota

Diversi casi di alto profilo hanno dimostrato come questi agenti legati alla Corea del Nord si siano infiltrati nel settore delle criptovalute, sfruttandone le vulnerabilità e prendendo parte ad attività fraudolente.

Esperti di sicurezza informatica come ZachXBT hanno fornito approfondimenti su queste operazioni tramite analisi dettagliate sui social media. Di seguito, ne esaminiamo alcune.

Caso 1: Trasferimento di $ 300.000 da parte di Light Fury

ZachXBT ha recentemente evidenziato un incidente che ha coinvolto un presunto lavoratore IT nordcoreano che utilizzava lo pseudonimo “Light Fury”. Operando sotto il falso nome Gary Lee, ZachXBT ha affermato che Light Fury ha trasferito oltre $ 300.000 dal suo indirizzo pubblico Ethereum Name Service (ENS), lightfury.eth, a Kim Sang Man, un nome che è nell’elenco delle sanzioni dell’Office of Foreign Assets Control (OFAC).

L’impronta digitale di Light Fury include un account GitHub, che lo mostra come un ingegnere senior di smart contract che ha fornito più di 120 contributi a vari progetti solo nel 2024.

Caso 2: l’hack di Munchables

L’attacco informatico a Munchables del marzo 2024 è un altro caso di studio che dimostra l’importanza di controlli approfonditi e verifiche dei precedenti per le posizioni chiave nei progetti crittografici.

L’incidente ha comportato l’assunzione di quattro sviluppatori, presumibilmente la stessa persona proveniente dalla Corea del Nord, incaricati di creare gli smart contract del progetto.

Il team falso era collegato all’hacking da 62,5 milioni di dollari del GiocoFi progetto ospitato sulla rete Blast layer-2.

Gli operatori, con nomi utente GitHub quali NelsonMurua913, Werewolves0493, BrightDragon0719 e Super1114, hanno apparentemente dimostrato sforzi coordinati raccomandandosi a vicenda per lavori, trasferendo pagamenti agli stessi indirizzi di deposito degli exchange e finanziando reciprocamente i rispettivi portafogli.

Inoltre, ZachXBT ha affermato di utilizzare spesso indirizzi di pagamento e di deposito di cambio simili, il che indica un’attività molto affiatata.

Il furto è avvenuto perché inizialmente i Munchables utilizzavano un contratto proxy aggiornabile controllato dai presunti nordcoreani che si erano infiltrati nella squadra, anziché il contratto dei Munchables stessi.

Questa configurazione ha fornito agli infiltrati un controllo significativo sullo smart contract del progetto. Hanno sfruttato questo controllo per manipolare lo smart contract e assegnare a se stessi un saldo di 1 milione Etereo.

Sebbene il contratto sia stato successivamente aggiornato a una versione più sicura, gli slot di archiviazione manipolati dai presunti agenti nordcoreani sono rimasti invariati.

A quanto si dice, hanno atteso che nel contratto fosse stato depositato abbastanza ETH per rendere utile il loro attacco. Quando è stato il momento giusto, hanno trasferito circa 62,5 milioni di $ di ETH nei loro portafogli.

Fortunatamente, la storia ha avuto un lieto fine. Dopo che le indagini hanno rivelato i ruoli degli ex sviluppatori nell’hacking, il resto del team di Munchables li ha coinvolti in intense negoziazioni, in seguito alle quali i malintenzionati hanno accettato di restituire i fondi rubati.

I contributori principali di Blast hanno ottenuto 97 milioni di $ in un multisig. Ha avuto un’incredibile spinta in background, ma sono grato che l’ex sviluppatore di munchables abbia scelto di restituire tutti i fondi alla fine senza richiedere alcun riscatto. @_munchables_ e protocolli che si integrano con esso come @juice_finance…

— Pacman | Sfocatura + Esplosione (@PacmanBlur) 27 marzo 2024

Caso 3: gli attacchi ostili alla governance di Holy Pengy

Anche gli attacchi alla governance sono stati una tattica impiegata da questi falsi candidati. Uno di questi presunti autori è Holy Pengy. ZachXBT sostiene che quel nome sia uno pseudonimo di Alex Chon, un infiltrato alleato della DPRK.

Quando un membro della comunità ha avvisato gli utenti di un attacco alla governance su Finanza indicizzata Secondo quanto riportato dal Tesoro statunitense, che deteneva 36.000 dollari in DAI e circa 48.000 dollari in NDX, ZachXBT ha collegato l’attacco a Chon.

Secondo l’investigatore on-chain, Chon, il cui profilo GitHub presenta un avatar dei Pudgy Penguins, cambiava regolarmente nome utente e sarebbe stato licenziato da almeno due posizioni diverse per comportamento sospetto.

In un messaggio precedente a ZachXBT, Chon, sotto lo pseudonimo Pengy, si è descritto come un ingegnere senior full-stack specializzato in frontend e solidity. Ha affermato di essere interessato al progetto di ZachXBT e di voler entrare a far parte del suo team.

Un indirizzo a lui collegato è stato identificato come responsabile sia dell’attacco alla governance di Indexed Finance sia di un precedente attacco contro Relevant, una piattaforma di condivisione di notizie e discussione web3.

Caso 4: Attività sospetta in Starlay Finance

Nel febbraio 2024, Starlay Finance ha dovuto affrontare una grave violazione della sicurezza che ha avuto un impatto sul suo pool di liquidità su Acala Network. Questo incidente ha portato a prelievi non autorizzati, suscitando notevole preoccupazione nella comunità delle criptovalute.

La piattaforma di prestito ha attribuito la violazione a un “comportamento anomalo” del suo indice di liquidità.

Rapporto sugli incidenti di sicurezza: anomalia nel pool USDC e sfruttamento

Sintesi:
Questo rapporto descrive un incidente di sicurezza critico all’interno del pool di prestiti USDC del protocollo Starlay sulla piattaforma Acala EVM. È stato identificato ed eseguito un exploit a causa di un comportamento anomalo nel… Italiano: https://t.co/8Q3od5g6Rc

— Starlay Finance🚀 (@starlay_fi) 9 febbraio 2024

Tuttavia, in seguito all’exploit, un analista di criptovalute che utilizza l’handle X @McBiblets, ha espresso preoccupazioni in merito al team di sviluppo di Starlay Finance.

Ho esaminato il @starlay_fi incidente e c’è qualcosa di estremamente sospetto nel loro team di sviluppo, David e Kevin

Non sarei sorpreso se fossero responsabili del recente attacco e il mio intuito mi fa pensare che potrebbero essere affiliati alla RPDC

Ecco perché 🧵

— McBiblets (@mcbiblets) 16 marzo 2024

Come si può vedere nel thread X qui sopra, McBiblets era particolarmente preoccupato per due individui, “David” e “Kevin”. L’analista ha scoperto modelli insoliti nelle loro attività e nei loro contributi al GitHub del progetto.

Secondo loro, David, che usa l’alias Wolfwarrier14, e Kevin, identificato come devstar, sembravano condividere connessioni con altri account GitHub come silverstargh e TopDevBeast53.

Pertanto, McBiblets ha concluso che tali somiglianze, unite agli avvertimenti del Dipartimento del Tesoro sui lavoratori affiliati alla RPDC, suggerivano che l’incarico alla Starley Finance potrebbe essere stato uno sforzo coordinato da parte di un piccolo gruppo di infiltrati legati alla Corea del Nord per sfruttare il progetto crittografico.

Implicazioni per il settore blockchain e web3

L’apparente proliferazione di presunti agenti della DPRK in lavori chiave pone rischi significativi per il settore blockchain e web3. Questi rischi non sono solo finanziari, ma riguardano anche potenziali violazioni dei dati, furto di proprietà intellettuale e sabotaggio.

Ad esempio, gli operatori potrebbero potenzialmente impiantare Codice malevolo all’interno di progetti blockchain, compromettendo la sicurezza e la funzionalità di intere reti.

Le aziende di criptovalute ora affrontano la sfida di ricostruire fiducia e credibilità nei loro processi di assunzione. Anche le implicazioni finanziarie sono gravi, con progetti che potrebbero perdere milioni di dollari a causa di attività fraudolente.

Inoltre, il governo degli Stati Uniti ha dichiarato che i fondi convogliati attraverso queste operazioni finiscono spesso per sostenere le ambizioni nucleari della Corea del Nord, complicando ulteriormente il panorama geopolitico.

Per questo motivo, la comunità deve dare priorità a rigorosi processi di controllo e a migliori misure di sicurezza per proteggersi da queste ingannevoli tattiche di ricerca di lavoro.

È importante che vi siano una maggiore vigilanza e collaborazione in tutto il settore per contrastare queste attività dannose e proteggere l’integrità del fiorente ecosistema blockchain e crittografico.

Fuente