Operatorzy powiązani z Koreą Północną od lat po cichu integrują się z firmami kryptowalutowymi i zespołami DeFi, wzbudzając nowe obawy dotyczące ryzyka wewnętrznego po serii kosztownych exploitów powiązanych z aparatem cybernetycznym tego kraju.
Podsumowanie
- Deweloperzy powiązani z Koreą Północną pracowali w ponad 40 projektach DeFi przez ostatnie siedem lat, według badacza bezpieczeństwa.
- Śledczy i uczestnicy branży ostrzegają, że wiele prób infiltracji opiera się na prostych, ale uporczywych taktykach poprzez kanały rekrutacyjne i inżynierię społeczną.
Badaczka bezpieczeństwa i deweloperka MetaMask Taylor Monahan stwierdziła, że te taktyki sięgają wczesnych dni zdecentralizowanych finansów, a osoby powiązane z Koreańską Republiką Ludowo-Demokratyczną wnosiły swój wkład w kilka powszechnie używanych protokołów.
„Wielu pracowników IT z KRLD budowało protokoły, które znacie i kochacie, jeszcze od „lata DeFi””, powiedziała w niedzielę, dodając, że ponad 40 platform, w tym kilka dobrze znanych projektów, w pewnym momencie polegało na takich deweloperach.
Zauważyła jednak, że „siedem lat doświadczenia w rozwoju blockchain” wymienione w ich CV „nie jest kłamstwem”.
Śledczy od dawna wiążą operacje cybernetyczne Korei Północnej z Grupą Lazarus, wspieranym przez państwo kolektywem, który, jak się uważa, ukradł około 7 miliardów dolarów w aktywach cyfrowych od 2017 roku, według analityków R3ACH.
Grupa była powiązana z jednymi z największych naruszeń w branży, w tym z exploitem Ronin Bridge na kwotę 625 milionów dolarów w 2022 roku, hackiem WazirX na kwotę 235 milionów dolarów w 2024 roku oraz incydentem Bybit na kwotę 1,4 miliarda dolarów w 2025 roku.
Koreańscy aktorzy stoją za exploitem Drift
Ubiegłotygodniowy exploit protokołu Drift na kwotę 280 milionów dolarów ponownie przyciągnął uwagę. Projekt stwierdził, że z „średnio wysoką pewnością” uważa, iż za atakiem stała grupa powiązana z państwem północnokoreańskim, łącząc incydent z szerszym schematem infiltracji i inżynierii społecznej.
Jednak spotkania twarzą w twarz, które doprowadziły do naruszenia, nie odbyły się z obywatelami Korei Północnej, lecz z „pośrednikami stron trzecich” używającymi „w pełni skonstruowanych tożsamości, w tym historii zatrudnienia, publicznych referencji i sieci zawodowych”.
Te profile zawierały historie zatrudnienia, publiczne referencje i aktywne sieci zawodowe, co pozwoliło im budować zaufanie poprzez osobiste interakcje, zanim doszło do exploitu.
Niezależny badacz blockchain ZachXBT ostrzegł w niedawnym poście na X, że nie wszystkie zagrożenia powiązane z Koreą Północną działają na tym samym poziomie zaawansowania.
„Głównym problemem jest to, że wszyscy grupują je razem, podczas gdy złożoność zagrożeń jest różna”, powiedział.
Opisał wiele prób infiltracji jako stosunkowo proste, opierające się na uporze, a nie na złożoności technicznej. Nadal powszechne są działania poprzez ogłoszenia o pracę, LinkedIn, e-maile, rozmowy Zoom i procesy rekrutacyjne.
„Podstawowe i w żaden sposób nie wyrafinowane […] jedyne, co je wyróżnia, to ich bezwzględność”, powiedział, dodając, że zespoły, które w 2026 roku nadal będą ulegać takim taktykom, ryzykują bycie uznanymi za niedbałe.
