Matagal nang tahimik na nakikipag-ugnayan ang mga operator na konektado sa North Korea sa mga crypto firm at DeFi team, na naglalabas ng bagong alalahanin tungkol sa panganib ng insider matapos ang sunud-sunod na malalaking exploit na may kaugnayan sa cyber apparatus ng bansa.
Ayon kay Taylor Monahan, isang security researcher at developer ng MetaMask, nagsimula pa ang mga taktikang ito noong unang panahon ng decentralized finance, kung saan ang mga indibidwal na konektado sa Democratic People’s Republic of Korea ay nag-ambag sa ilang malawakang ginagamit na protocol.
"Maraming IT worker ng DPRK ang bumuo ng mga protocol na kilala at gusto ninyo, mula pa noong DeFi summer," aniya noong Linggo, idinagdag na mahigit 40 platform, kabilang ang ilang kilalang proyekto, ay umasa na sa mga ganoong developer.
Gayunpaman, binanggit niya na ang "pitong taon ng karanasan sa pagde-develop ng blockchain" na nakalista sa kanilang mga resume ay "hindi kasinungalingan."
Matagal nang iniuugnay ng mga imbestigador ang mga cyber operation ng North Korea sa Lazarus Group, isang kolektibong suportado ng estado na pinaniniwalaang nagnakaw ng humigit-kumulang $7 bilyon sa mga digital asset mula noong 2017, ayon sa mga analyst ng R3ACH.
Ang grupo ay nauugnay sa ilan sa pinakamalaking paglabag sa industriya, kabilang ang $625 milyong Ronin Bridge exploit noong 2022, ang $235 milyong WazirX hack noong 2024, at ang $1.4 bilyong insidente sa Bybit noong 2025.
Ang $280 milyong exploit ng Drift Protocol noong nakaraang linggo ay muling sinuri. Sinabi ng proyekto na mayroon silang "katamtaman hanggang mataas na kumpiyansa" na isang grupong kaakibat ng estado ng North Korea ang nasa likod ng atake, na iniuugnay ang insidente sa mas malawak na pattern ng infiltrasyon at social engineering.
Gayunpaman, ang mga face-to-face na pagpupulong na humantong sa paglabag ay hindi sa mga mamamayan ng North Korea, kundi sa "third party intermediaries" na gumagamit ng "ganap na binuong identidad kabilang ang mga kasaysayan ng trabaho, pampublikong kredensyal, at propesyonal na network."
Ang mga profile na ito ay naglalaman ng mga kasaysayan ng trabaho, pampublikong kredensyal, at aktibong propesyonal na network, na nagpapahintulot sa kanila na bumuo ng tiwala sa pamamagitan ng personal na interaksyon bago nangyari ang exploit.
Nagbabala ang independent blockchain investigator na si ZachXBT sa isang kamakailang X post na hindi lahat ng banta na may kaugnayan sa North Korea ay gumagana sa parehong antas ng pagiging sopistikado.
"Ang pangunahing isyu ay pinagsasama-sama ng lahat ang mga ito kahit na magkaiba ang kumplikasyon ng mga banta," aniya.
Inilarawan niya ang maraming pagtatangka ng infiltrasyon bilang medyo simple, na umaasa sa pagiging paulit-ulit kaysa sa teknikal na kumplikasyon. Karaniwan pa rin ang pag-abot sa pamamagitan ng mga job posting, LinkedIn, email, Zoom call, at proseso ng interview.
"Pangkaraniwan at hindi naman sopistikado [...] ang tanging bagay tungkol dito ay ang pagiging walang humpay nila," aniya, idinagdag na ang mga team na patuloy na naloloko sa mga ganoong taktika sa 2026 ay nanganganib na ituring na pabaya.
