एथेरियम फाउंडेशन प्रोजेक्ट ने वेब3 फर्मों में 100 उत्तर कोरियाई ऑपरेटिव्स का पर्दाफाश किया

एथेरियम फाउंडेशन ने खुलासा किया है कि उसने एक 6 महीने की सुरक्षा परियोजना को वित्त पोषित किया था जिसने लगभग 100 उत्तर कोरियाई एजेंटों का पता लगाया था, जिन्होंने कथित तौर पर नकली पहचान के तहत वेब3 कंपनियों में घुसपैठ की थी। परिणाम क्रिप्टोकरेंसी और ब्लॉकचेन इकोसिस्टम के खिलाफ राज्य-संबंधित खतरों के बढ़ते आकार पर जोर देते हैं, जिसमें रिमोट वर्क व्यवस्था और छद्म-पहचान रोजगार प्रथाओं का दुर्भावनापूर्ण अभिनेताओं द्वारा दुरुपयोग किया जा सकता है।

यह गुरुवार को फाउंडेशन द्वारा ईटीएच रेंजर्स कार्यक्रम के एक व्यापक सारांश के रूप में सामने आया, यह एक कार्यक्रम है जिसे एथेरियम इकोसिस्टम में सार्वजनिक वस्तुओं की सुरक्षा के प्रयासों को वित्त पोषित करने के लिए 2024 के अंत में शुरू किया गया था। यह कार्यक्रम स्वतंत्र शोधकर्ताओं और सुरक्षा योगदानकर्ताओं को इकोसिस्टम-स्तरीय खतरों पर काम करने के लिए मानदेय प्रदान करता है, जिससे आमतौर पर व्यक्तिगत कंपनियों द्वारा निपटना मुश्किल होता है।

ईटीएच रेंजर्स कार्यक्रम और इसका सुरक्षा मिशन

ईटीएच रेंजर्स कार्यक्रम की स्थापना एथेरियम और वेब3 इन्फ्रास्ट्रक्चर की सुरक्षा बढ़ाने के उद्देश्य से की गई थी, जिसमें शोधकर्ताओं को कमजोरियों, घोटालों और प्रणालीगत जोखिमों की जांच के लिए वित्त पोषित किया गया था।

एथेरियम फाउंडेशन ने कहा कि इस कार्यक्रम का उद्देश्य सार्वजनिक वस्तुओं की सुरक्षा के काम को बढ़ावा देना था, यानी, ऐसा काम जो व्यक्तिगत कंपनियों के लिए नहीं बल्कि पूरे इकोसिस्टम के लिए था। इसमें बुरे अभिनेताओं का पता लगाना, हमले के पैटर्न की जांच करना और नए खतरों के ज्ञान को बढ़ाना शामिल है।

इस फंडिंग से लाभान्वित होने वालों में एक प्राप्तकर्ता भी था जिसने अपने मानदेय का उपयोग केटमैन प्रोजेक्ट नामक एक गहन शोध शुरू करने के लिए किया, जो क्रिप्टो कंपनियों में काम करने वाले तथाकथित नकली डेवलपर्स पर केंद्रित था। इस परियोजना ने विशेष रूप से उत्तर कोरिया से संबंध रखने वाले संदिग्ध ऑपरेटिव्स का पता लगाने पर जोर दिया, जो झूठी पहचान के तहत काम कर रहे थे।

केटमैन प्रोजेक्ट के निष्कर्ष

अपनी छह महीने की जांच में, केटमैन प्रोजेक्ट ने वेब3 संगठनों में काम करने वाले लगभग 100 उत्तर कोरियाई तकनीकी कर्मचारियों का पता लगाया। ये उत्तर कोरियाई कई क्रिप्टो-संबंधित फर्मों में घुसपैठ कर चुके थे और वहां काम करते समय वैध रिमोट सॉफ्टवेयर डेवलपर्स और इंजीनियरों के रूप में पेश आते थे।

परियोजना का दावा है कि उसने लगभग 53 क्रिप्टो परियोजनाओं से संपर्क किया है ताकि उन्हें चेतावनी दी जा सके कि उन्होंने अनजाने में उत्तर कोरियाई ऑपरेशन से जुड़े लोगों को काम पर रखा हो सकता है। परियोजना ने एथेरियम फाउंडेशन का हवाला देते हुए यह भी कहा कि उत्तर कोरियाई पहल विकेंद्रीकृत प्रौद्योगिकी उद्योग में चल रहे एक गंभीर परिचालन सुरक्षा मुद्दे का प्रमाण है; रिमोट कर्मचारी और छद्म-पहचान प्रथाएं कर्मचारी सत्यापन के लिए उचित भर्ती मानकों को विकसित करने में चुनौती पेश करती हैं।

एथेरियम फाउंडेशन ने संकेत दिया है कि इस परियोजना ने वर्तमान में एथेरियम इकोसिस्टम के सामने आने वाली सबसे उच्च जोखिम वाली सुरक्षा समस्याओं में से एक को संबोधित किया है।

उत्तर कोरियाई ऑपरेटिव्स क्रिप्टो कंपनियों में कैसे घुसपैठ करते हैं

सुरक्षा विशेषज्ञ और वैश्विक नेता लंबे समय से चेतावनी दे रहे हैं कि उत्तर कोरिया से जुड़े संगठन दुनिया के तकनीकी क्षेत्रों, जैसे ब्लॉकचेन और क्रिप्टोकरेंसी कंपनियों में घुसपैठ करने के लिए उन्नत तकनीकों का उपयोग करते हैं।

ये एजेंट अक्सर फ्रीलांस डेवलपर्स या दूरस्थ ठेकेदारों के रूप में कार्य करते हैं, पहचान चुराते हैं, जाली रिज्यूमे बनाते हैं और वैध परियोजनाओं तक पहुंच प्राप्त करने के लिए फर्जी रोजगार इतिहास बनाते हैं। एक बार जब उन्हें काम पर रखा जाता है, तो वे पैसे कमाने, आंतरिक जानकारी तक पहुंच प्राप्त करने या यहां तक कि सिस्टम में कमजोरी डालने में सक्षम होते हैं।

व्यापक रूप से उपयोग की जाने वाली घुसपैठ की रणनीतियाँ हैं:

फर्जी लिंक्डइन और गिटहब अकाउंट प्राप्त करना।

रिमोट वर्क टूल्स और वीपीएन का उपयोग करके स्थान छिपाना।

संगठित सहायता समूहों द्वारा तकनीकी साक्षात्कारों में सफलता प्राप्त करना।

विभिन्न नामों से फ्रीलांस साइटों का उपयोग।

कम सुरक्षा जांच प्रक्रियाओं वाले स्टार्टअप्स पर ध्यान केंद्रित करना।

कुछ ऑपरेटिव्स अन्य मामलों में एक ही परियोजना में भूमिकाएं बदल सकते हैं ताकि यह सुनिश्चित किया जा सके कि उनका पता न चले और वे विभिन्न पहचानों के तहत काम करना जारी रखें।

व्यापक साइबर ऑपरेशंस और क्रिप्टो चोरी से संबंध

उत्तर कोरिया से जुड़ी साइबर गतिविधि को कई मामलों में क्रिप्टोकरेंसी में भारी नुकसान से जोड़ा गया है। अंतरराष्ट्रीय सुरक्षा एजेंसियों और ब्लॉकचेन पेशेवरों ने चोरी किए गए डिजिटल फंड (अरबों) की भारी मात्रा को ज्ञात राज्य-प्रायोजित हैकिंग संगठनों के भीतर काम कर रहे समूहों से जोड़ा है।

लाजरस ग्रुप, उत्तर कोरियाई साइबर अपराध से जुड़े प्राथमिक संगठित साइबर-समूहों में से एक, ने वित्तीय संस्थानों, एक्सचेंजों और ब्लॉकचेन प्लेटफॉर्म पर कई उच्च-स्तरीय हमलों के लिए कुख्याति प्राप्त की है।

इन संगठनों को अंतरराष्ट्रीय प्रतिबंधों से बचने और सरकारी कार्यक्रमों को वित्त पोषित करने के लिए राजस्व उत्पन्न करने के लिए चोरी की गई क्रिप्टोकरेंसी का उपयोग करने के लिए माना जाता है। अपनी वैश्विक पहुंच और इस तथ्य के कारण कि क्रिप्टोकरेंसी का उपयोग करके लेनदेन अपरिवर्तनीय होते हैं और पर्याप्त तरलता प्रदान करते हैं, क्रिप्टोकरेंसी नेटवर्क हैकर्स के लिए प्रमुख लक्ष्य बनते हैं।

वेब3 कंपनियां विशेष रूप से कमजोर क्यों हैं

वेब3 कंपनियों के ज्यादातर रिमोट वर्किंग मॉडल और विकेंद्रीकृत टीम संरचनाओं के तहत काम करने के कारण, पृष्ठभूमि सत्यापन पारंपरिक कॉर्पोरेट वातावरण की तुलना में और भी बड़ी चुनौती हो सकता है। क्रिप्टो स्टार्टअप्स अक्सर दुनिया भर से योगदानकर्ताओं को बिना आमने-सामने ऑनबोर्डिंग या परिभाषित पहचान सत्यापन प्रक्रियाओं के नियुक्त करते हैं।

इन दोनों कारकों का संयोजन का मतलब है कि दुर्भावनापूर्ण अभिनेता वैध डेवलपर टीमों में घुसपैठ करना जारी रखते हैं।

गंभीर कमजोरियाँ:

क्रिप्टो समुदायों में छद्म-नाम पर भर्ती आम है

शुरुआती चरण के स्टार्टअप्स में तेज़ गति वाली भर्ती प्रक्रियाएं

सीमित एचआर और अनुपालन इन्फ्रास्ट्रक्चर

ठेकेदार-आधारित विकास कार्य पर निर्भरता

वेब3 इकोसिस्टम्स की वैश्विक और सीमा-रहित प्रकृति

उचित सुरक्षा नियंत्रणों की कमी को देखते हुए, ये कारक सुनियोजित घुसपैठ अभियानों के लिए एक आदर्श स्थिति बनाते हैं।

एथेरियम फाउंडेशन की प्रतिक्रिया और इकोसिस्टम पर प्रभाव

एथेरियम फाउंडेशन इकोसिस्टम की समन्वित खतरों की पहचान करने और उनका जवाब देने की क्षमता में सुधार के लिए काम कर रहा है। फाउंडेशन इस लक्ष्य को प्राप्त करने के तरीकों में से एक है केटमैन प्रोजेक्ट को वित्त पोषित करना, यह एक ऐसा कार्यक्रम है जिसे फाउंडेशन को समर्थकों के एक नेटवर्क से भरने के लिए डिज़ाइन किया गया है जो संदिग्ध खतरों की सामूहिक रूप से पहचान करने और उनका जवाब देने में मदद कर सकते हैं।

एथेरियम फाउंडेशन द्वारा 100 लोगों की संदिग्ध ऑपरेटिव्स के रूप में पहचान करना समस्या की सीमा को दर्शाता है और यह संकेत देता है कि घुसपैठ के प्रयास मूल रूप से जितना सोचा गया था, उससे कहीं अधिक सामान्य हो सकते हैं।

इस समस्या का फाउंडेशन द्वारा सार्वजनिककरण इस बढ़ती समझ का एक संकेतक है कि स्मार्ट कॉन्ट्रैक्ट्स और हैकिंग के कारनामों के बाहर भी सुरक्षा जोखिम हैं। मानवीय स्तर पर सुरक्षा की आवश्यकता, जैसे पहचान सत्यापन और ईमानदारी के लिए कर्मचारी जांच के माध्यम से, बढ़ रही है।

सुरक्षा विशेषज्ञ बताते हैं कि इस प्रकार का जोखिम विशेष रूप से चिंताजनक है क्योंकि वे संगठनों के भीतर चुपचाप होते हैं और अक्सर नुकसान होने के बाद ही उनका पता चलता है।

उद्योग की प्रतिक्रिया और बढ़ती सुरक्षा चिंताएँ

यह खबर संभवतः वेब3 व्यवसायों को नए कर्मचारियों की पृष्ठभूमि जांच से संबंधित बेहतर नीतियां बनाने के लिए और अधिक प्रेरणा देगी, विशेष रूप से संवेदनशील सिस्टम (इन्फ्रास्ट्रक्चर) के निर्माण और रखरखाव के लिए।

कुछ व्यापारिक सदस्य पहले से ही इसके लिए वकालत करके मजबूत सुरक्षा विकसित करने का प्रयास कर रहे हैं:

1) रिमोट डेवलपर्स पर अधिक सत्यापित पहचान

2) तकनीकी पदों के लिए बेहतर बहु-स्तरीय पृष्ठभूमि जांच

3) योगदानकर्ताओं के लिए विकेंद्रीकृत प्रतिष्ठा प्लेटफॉर्म

4) आंतरिक विकास समूहों का अनिवार्य सुरक्षा ऑडिट

5) सुरक्षा विशेषज्ञों के साथ अधिक सहयोग।

लेकिन सुरक्षा प्रवर्तन के साथ खुलेपन और विकेंद्रीकरण को संतुलित करना क्रिप्टो उद्योग के लिए एक सतत मुद्दा है।

निष्कर्ष

ईटीएच रेंजर्स, केटमैन प्रोजेक्ट, और एथेरियम फाउंडेशन सभी ने हाल ही में माना है कि वेब3 के लिए खतरे केवल तकनीकी (कोड) कमजोरियों से ही नहीं बने हैं; इसमें परिष्कृत मानव-आधारित घुसपैठ भी शामिल हैं जिनका अभी तक पता नहीं चला है।

रिपोर्टों का अनुमान है कि लगभग 100 उत्तर कोरियाई ऑपरेटिव्स अब क्रिप्टो संगठनों में काम करते हैं। यह जानकारी इन खतरों के अस्तित्व के आकार की पुष्टि करती है और डिजिटल (वर्चुअल) एसेट स्पेस के खिलाफ विदेशी सरकार-प्रायोजित साइबर खतरों के बारे में चल रही चिंताओं की पुष्टि करती है।

आगे बढ़ते हुए, जैसे-जैसे क्रिप्टो बाजार परिपक्व होता है, चुनौती एक खुली और विकेंद्रीकृत प्रणाली बनाना होगा जो नकली पहचान का उपयोग करने वाले अच्छी तरह से समन्वित, दीर्घकालिक विरोधियों से बचाव करे, जो क्रिप्टो को नुकसान पहुँचाने के लिए मौजूद हैं।