โครงการ Ketman ซึ่งได้รับเงินสนับสนุนจาก Ethereum Foundation ได้ระบุพบ IT worker ที่น่าสงสัยจากเกาหลีเหนือประมาณ 100 รายใน 53 โปรเจกต์ crypto ตามรายงานสรุปโครงการ ETH Rangers Program ที่เผยแพร่เมื่อวันที่ 16 เมษายน
โครงการระยะเวลาหกเดือนนี้ซึ่งได้รับการสนับสนุนผ่านเงินทุนจาก ETH Rangers Program ของ Ethereum Foundation ได้มุ่งเน้นโดยเฉพาะเรื่องการตรวจจับและขับไล่เจ้าหน้าที่ DPRK ที่แฝงตัวในองค์กร Web3 ภายใต้ตัวตนปลอม
ชาวเกาหลีเหนือใช้ตัวตนปลอมและเอกสาร KYC ปลอมอย่างไร
การสืบสวนล่าสุดของ Ketman ได้เปิดเผยว่า ผู้มีส่วนเกี่ยวข้องกับ DPRK สวมรอยเป็นนักพัฒนาชาวญี่ปุ่นบนแพลตฟอร์ม Web3 freelance ที่ชื่อ OnlyDust
เจ้าหน้าที่เหล่านี้ใช้ภาพโปรไฟล์ที่สร้างโดย AI ชื่อปลอมเช่น “Hiroto Iwaki” และ “Motoki Masuo” พร้อมกับยื่นเอกสารยืนยันตัวตนของญี่ปุ่นที่ปลอมแปลงระหว่างกระบวนการตรวจสอบ
ทีมนักสืบ ยืนยันการหลอกลวงระหว่างวิดีโอคอล เมื่อผู้ต้องสงสัยคนหนึ่งซึ่งถูกขอให้แนะนำตัวเป็นภาษาญี่ปุ่น ได้ถอดหูฟังและออกจากสาย
ทีมสามารถตามรอยกลุ่มปฏิบัติการอย่างน้อย 3 กลุ่มใน 11 repositories โดยมีการ merge pull requests ไปแล้ว 62 ครั้งก่อนถูกตรวจพบ
เครื่องมือโอเพนซอร์สและกรอบการทำงานของอุตสาหกรรม
นอกเหนือจากการสืบสวนแต่ละกรณี Ketman ได้พัฒนา gh-fake-analyzer ซึ่งเป็นเครื่องมือวิเคราะห์โปรไฟล์ GitHub แบบโอเพนซอร์ส ปัจจุบันเปิดให้ใช้งานบน PyPI
โครงการยังได้เขียน DPRK IT Workers Framework ร่วมกับ Security Alliance (SEAL) ซึ่งกลายเป็นมาตรฐานอ้างอิงของอุตสาหกรรม
ETH Rangers Program เปิดตัวปลายปี 2024 โดยร่วมกับ Secureum, The Red Guild และ SEAL ซึ่งให้ทุนแก่ผู้รับสตายเพนรวมทั้งสิ้น 17 ราย
ผลลัพธ์สำคัญประกอบด้วยเงินกู้คืนกว่า 5.8 ล้าน USD การรายงานช่องโหว่ 785 กรณี และตอบสนองต่อเหตุการณ์ 36 ครั้ง
ปฏิบัติการของเจ้าหน้าที่เกาหลีเหนือ ได้ขโมยสินทรัพย์ crypto หลายพันล้าน USD ในช่วงไม่กี่ปีที่ผ่านมา นักวิจัยความปลอดภัยเตือนว่า การแทรกซึมโดย IT worker มักเป็นก้าวแรกของการโจมตี supply chain ขนาดใหญ่ที่ประสานงานโดยทีมแฮกเกอร์ DPRK
