ZachXBT rapporteert $500K per maand aan inkomsten door Noord-Koreaanse crypto-developers
Blockchain onderzoeker ZachXBT heeft een geavanceerd netwerk van Noord-Koreaanse developers onthuld, die maandelijks tot $500.000 verdienen door te werken aan meer dan 25 cryptoprojecten.
Recente diefstal van $1,3 miljoen
In een gedetailleerd rapport dat op 15 augustus werd gedeeld, onthulde ZachXBT dat ten minste 21 ontwikkelaars uit de Democratische Volksrepubliek Korea (DPRK) betrokken zijn bij deze activiteiten.
Het rapport belicht een recent incident waarbij een cryptoproject $1,3 miljoen verloor door kwaadaardige code die werd geïntroduceerd door deze ontwikkelaars, die valse identiteiten gebruikten.
Het gestolen geld werd witgewassen via meerdere transacties, waarbij uiteindelijk 16,5 Ether (ETH) werd overgemaakt naar verschillende exchanges.
1/ Recently a team reached out to me for assistance after $1.3M was stolen from the treasury after malicious code had been pushed.
Unbeknownst to the team they had hired multiple DPRK IT workers as devs who were using fake identities.
I then uncovered 25+ crypto projects with… pic.twitter.com/W7SgY97Rd8
— ZachXBT (@zachxbt) August 15, 2024
Uitgebreid netwerk en financiële banden
Het onderzoek van ZachXBT geeft aan dat deze ontwikkelaars deel uitmaken van een groter netwerk, met betalingen van in totaal $5,5 miljoen van juli 2023 tot begin 2024.
De activiteiten van het netwerk zijn gekoppeld aan Noord-Koreaanse IT-medewerkers en personen die door het Amerikaanse Office of Foreign Assets Control (OFAC) zijn gesanctioneerd, waaronder figuren als Sim Hyon Sop en Sang Man Kim, die bekend staan om hun betrokkenheid in cybercriminaliteit.
Gebruik van valse identiteiten en IP-verduistering
Het onderzoek bracht verder aan het licht dat sommige ontwikkelaars IP’s van Russian Telecom gebruikten terwijl ze valselijk beweerden gevestigd te zijn in de VS en Maleisië.
Verschillende ontwikkelaars onthulden zelfs per ongeluk hun ware identiteit, wat licht werpt op de misleidende methoden die worden gebruikt om cryptoprojecten te infiltreren. ZachXBT vond gevallen van overlappende IP-adressen, die wezen op de pogingen van het netwerk om hun ware locaties te maskeren.
Implicaties voor de crypto-industrie
De onthullingen van ZachXBT onderstrepen de groeiende dreiging van Noord-Koreaanse betrokkenheid in de cryptoruimte, met name bij het uitbuiten van kwetsbaarheden binnen gedecentraliseerde projecten.
De Amerikaanse overheid heeft eerder gewaarschuwd voor de instroom van Noord-Koreaanse werknemers in freelance technische functies, vooral in de cryptocurrency sector.
De bevindingen komen ook overeen met eerdere rapporten over de Lazarus Group, een Noord-Koreaans hackerscollectief, dat tussen 2017 en 2023 meer dan $3 miljard aan cryptomiddelen heeft gestolen.
Preventieve maatregelen voor cryptoprojecten
ZachXBT benadrukte dat niet alle organisaties die deze ontwikkelaars inhuren in gebreke zijn gebleven, omdat velen zich niet bewust waren van de ware identiteit van hun werknemers.
Hij adviseerde cryptoprojecten om strengere achtergrondcontroles uit te voeren en voorzichtig te zijn met ontwikkelaars die elkaar doorverwijzen voor functies. Door dit te doen kunnen bedrijven zichzelf beter beschermen tegen soortgelijke exploits in de toekomst.
Aanbevelingen voor cryptoprojecten
Om zich te beschermen tegen dergelijke bedreigingen stelde ZachXBT verschillende voorzorgsmaatregelen voor, waaronder het nauwlettend in de gaten houden van de activiteiten van ontwikkelaars, het verifiëren van IP-adressen en het uitvoeren van grondige achtergrondcontroles.
Hij raadde ook aan dat cryptoprojecten op hun hoede zijn voor ontwikkelaars die ongewoon gedrag vertonen, zoals frequente IP-veranderingen of een inconsistente werkgeschiedenis.