L'enquêteur sur la blockchain ZachXBT a publié des informations concernant des développeurs nord-coréens qui auraient volé 1,3 million de dollars dans le trésor d'un projet.
Le vol a été perpétré lorsque les développeurs, embauchés sous de fausses identités, ont injecté un code malveillant dans le système, ce qui a permis le transfert non autorisé de fonds.
ZachXBT découvre un stratagème pour les crypto-travailleurs
ZachXBT a expliqué sur X que les fonds volés avaient été initialement envoyés à une adresse volée et transférés de Solana à Ethereum via la plateforme deBridge. Les fonds, 50,2 ETH, ont été déposés dans Tornado Cash, un mixeur crypto qui masque les traces de transaction. Après cela, 16,5 ETH ont été transférés vers deux bourses.
1/ Récemment, une équipe m'a contacté pour obtenir de l'aide après que 1,3 million de dollars aient été volés au Trésor suite à la diffusion d'un code malveillant.
À l'insu de l'équipe, ils avaient embauché plusieurs travailleurs informatiques de la RPDC comme développeurs qui utilisaient de fausses identités.
J'ai ensuite découvert plus de 25 projets cryptographiques avec… pic.twitter.com/W7SgY97Rd8
— ZachXBT (@zachxbt) 15 août 2024
Selon ZachXBT, depuis juin 2024, des informaticiens nord-coréens ont infiltré plus de 25 projets de crypto-monnaies en utilisant plusieurs adresses de paiement. Il a noté qu'il pourrait y avoir une seule entité en Asie, probablement basée en Corée du Nord, recevant entre 300 000 et 500 000 dollars par mois tout en employant au moins 21 travailleurs dans différents projets de crypto-monnaies.
Une analyse plus approfondie a révélé qu'avant cette affaire, 5,5 millions de dollars avaient été acheminés vers une adresse de dépôt d'échange liée à des paiements effectués à des travailleurs informatiques nord-coréens de juillet 2023 à juillet 2024. Ces paiements étaient liés à Sim Hyon Sop, un individu sanctionné par l'Office of Foreign Assets Control (OFAC) des États-Unis.
L’enquête de ZachXBT a examiné de plus près les nombreuses erreurs et schémas inhabituels commis par les acteurs malveillants. Il y a eu des chevauchements d’adresses IP entre des développeurs prétendument basés aux États-Unis et en Malaisie et des fuites accidentelles d’identités alternatives lors de sessions enregistrées.
Après l'incident, ZackXBT a contacté les projets concernés et leur a conseillé de consulter leurs journaux et de procéder à des vérifications d'antécédents plus approfondies. Il a également relevé plusieurs signaux d'alerte que les équipes peuvent surveiller, tels que les références pour des postes par d'autres développeurs, les incohérences dans les antécédents professionnels et les CV ou profils GitHub très soignés.
La cybercriminalité en Corée du Nord s'intensifie
Parallèlement, les groupes liés à la Corée du Nord sont depuis longtemps associés à la cybercriminalité. Leurs tactiques incluent souvent des opérations de phishing, l’exploitation de vulnérabilités logicielles, l’accès non autorisé aux systèmes, le vol de clés privées et même l’infiltration d’organisations en personne.
L'une de ses organisations les plus infâmes, Lazarus Group, aurait volé plus de 3 milliards de dollars d'actifs cryptographiques entre 2017 et 2023.
En 2022, le gouvernement américain a mis en garde contre le nombre croissant de travailleurs nord-coréens se lançant dans des emplois technologiques indépendants, en particulier dans le secteur de la cryptographie.
L'article Les développeurs nord-coréens ont utilisé de fausses identités pour voler le projet Crypto : ZachXBT est apparu en premier sur CryptoPotato.