Недавние твиты эксперта по кибербезопасности ZachXBT указывают на то, что существует сложная схема с участием северокорейских ИТ-специалистов, выдающих себя за разработчиков криптовалют.
Операция привела к краже 1,3 млн долларов из казны проекта и раскрыла сеть из более чем 25 скомпрометированных криптопроектов, активных с июня 2024 года .
Исследование ZachXBT убедительно свидетельствует о том, что одна организация в Азии, вероятно, действующая из Северной Кореи , получает от 300 000 до 500 000 долларов США в месяц, одновременно работая над более чем 25 криптопроектами, используя поддельные личности.
Схема кражи и отмывания денег
Инцидент начался, когда публично анонимная команда обратилась за помощью к ZachXBT после того, как из их казны украли 1,3 млн долларов. Незаметно для себя они наняли нескольких северокорейских ИТ-специалистов, которые использовали поддельные личности, чтобы проникнуть в команду.
Украденные средства на общую сумму 1,3 миллиона долларов были быстро отмыты посредством серии транзакций, включая перевод на адрес кражи, переход из Solana
в ethereum через deBridge, внеся 50,2 eth на Tornado Cash и в конечном итоге переведя 16,5 ETH на две разные биржи.
Картографирование сети
Дальнейшее расследование показало, что вредоносные разработчики были частью более крупной сети. Отслеживая несколько платежных адресов, следователь выявил кластер из 21 разработчика, которые получили около 375 000 долларов только за последний месяц.
Расследование также связало эти действия с предыдущими транзакциями на общую сумму 5,5 млн долларов США, которые поступили на адрес биржевого депозита с июля 2023 по 2024 год.
Эти платежи были связаны с северокорейскими IT-работниками и Сим Хён Сопом, фигурой, находящейся под санкциями Управления по контролю за иностранными активами (ofac). В ходе расследования было выявлено несколько тревожных действий, включая случаи перекрытия IP-адресов российских телекоммуникационных компаний среди разработчиков, которые, как сообщается, находились в США и Малайзии.
Кроме того, один разработчик случайно раскрыл другие личности во время записи. Дальнейшие расследования показали, что платежные адреса были тесно связаны с адресами лиц, находящихся под санкциями OFAC, таких как Сан Ман Ким и Сим Хён Соп.
Ситуацию усложнило участие рекрутинговых компаний в трудоустройстве некоторых разработчиков. Кроме того, в нескольких проектах было задействовано не менее трех северокорейских ИТ-специалистов, которые рекомендовали друг друга.
Профилактические меры
ZachXBT указал , что многие опытные команды непреднамеренно нанимали разработчиков-мошенников, поэтому не совсем справедливо обвинять команды. Однако есть несколько мер, которые команды могут предпринять, чтобы защитить себя в будущем.
Эти меры включают в себя осторожность в отношении разработчиков, которые рекомендуют друг друга на должности, тщательное изучение резюме, тщательную проверку информации KYC, постановку подробных вопросов о заявленном разработчиками местоположении, отслеживание разработчиков, которые были уволены, а затем снова появились под новыми учетными записями, отслеживание снижения производительности с течением времени, регулярный просмотр журналов на предмет аномалий, осторожность в отношении разработчиков, использующих популярные фотографии профиля nft, и выявление возможных языковых акцентов, которые могут указывать на азиатское происхождение.