Presunti agenti nordcoreani avrebbero utilizzato false domande di lavoro per infiltrarsi nei progetti web3, dirottando milioni e sollevando problemi di sicurezza.
Negli ultimi anni blockchain e web3 sono stati in prima linea nell’innovazione tecnologica. Tuttavia, per parafrasare una citazione, da una grande innovazione derivano grandi rischi.
Recenti rivelazioni hanno scoperto un sofisticato piano da parte di operatori sospettati di essere affiliati alla Repubblica popolare democratica di Corea per infiltrarsi nel settore attraverso false domande di lavoro, sollevando allarmi sulla sicurezza e l’integrità del settore.
Sommario
Motivazioni economiche e strategie cyber
Il modus operandi: false domande di lavoro
300 aziende colpite dalla truffa delle false domande di lavoro a distanza
Incidenti e indagini notevoli
Implicazioni per il settore blockchain e web3
Motivazioni economiche e strategie cyber
L’economia della Corea del Nord è stata gravemente paralizzata dalle sanzioni internazionali, che ne limitano l’accesso a risorse cruciali, limitano le opportunità commerciali e ostacolano la sua capacità di impegnarsi in transazioni finanziarie globali.
In risposta, il regime ha utilizzato vari metodi per aggirare queste sanzioni, comprese pratiche di spedizione illecite, contrabbando e tunneling, nonché l’utilizzo di società di copertura e banche straniere per condurre transazioni indirettamente.
Tuttavia, uno dei metodi più non convenzionali della RPDC per aumentare le entrate è l’uso di un sofisticato programma di guerra alla criminalità informatica che presumibilmente conduce attacchi informatici contro istituzioni finanziarie, scambi di criptovalute e altri obiettivi.
L'industria delle criptovalute è stata una delle maggiori vittime delle presunte operazioni informatiche di questo stato canaglia, con un rapporto TRM di inizio anno che indicava che le criptovalute avevano perso almeno 600 milioni di dollari a favore della Corea del Nord solo nel 2023.
In totale, il rapporto afferma che la Corea del Nord è stata responsabile del furto di criptovalute per un valore di 3 miliardi di dollari dal 2017.
Quantità di criptovalute presumibilmente rubate da attori legati alla Corea del Nord tra il 2017 e il 2023 | Fonte: Laboratori TRM
Considerato che le criptovalute sembrano essere un bersaglio facile e redditizio, sono emerse segnalazioni di attori legati alla RPDC che hanno stretto la stretta infiltrandosi nel settore utilizzando false domande di lavoro.
Una volta assunti, questi agenti sono in una posizione migliore per rubare e sottrarre fondi per sostenere il programma di armi nucleari della Corea del Nord e aggirare le restrizioni finanziarie globali imposte su di esso.
Il modus operandi: false domande di lavoro
Stando alle storie dei media e alle informazioni delle agenzie governative, sembra che gli agenti della RPDC abbiano perfezionato l'arte dell'inganno, creando identità e curriculum falsi per garantire posti di lavoro remoti in società di criptovalute e blockchain in tutto il mondo.
Una storia di Axios del maggio 2024 ha evidenziato come gli specialisti IT nordcoreani stessero sfruttando le pratiche di assunzione americane per infiltrarsi nello spazio tecnologico del paese.
Axios ha affermato che gli agenti nordcoreani utilizzano documenti contraffatti e identità false, spesso mascherando la loro vera posizione con VPN. Inoltre, la storia affermava che questi presunti malintenzionati prendono di mira principalmente ruoli sensibili nel settore blockchain, tra cui sviluppatori, specialisti IT e analisti di sicurezza.
300 aziende colpite dalla truffa delle false domande di lavoro a distanza
La portata di questo inganno è vasta, con il Dipartimento di Giustizia degli Stati Uniti che ha recentemente rivelato che più di 300 aziende statunitensi sono state indotte ad assumere nordcoreani attraverso una massiccia truffa sul lavoro a distanza.
Questi truffatori non solo hanno occupato posizioni nella blockchain e nello spazio web3, ma presumibilmente hanno anche tentato di penetrare in aree più sicure e sensibili, comprese le agenzie governative.
Secondo il Dipartimento di Giustizia, gli agenti nordcoreani hanno utilizzato identità americane rubate per presentarsi come professionisti della tecnologia nazionale, con l’infiltrazione che ha generato milioni di dollari di entrate per il loro paese assediato.
È interessante notare che uno degli orchestratori del progetto era una donna dell'Arizona, Christina Marie Chapman, che avrebbe facilitato il collocamento di questi lavoratori creando una rete di cosiddette "laptop farm" negli Stati Uniti.
Secondo quanto riferito, queste configurazioni hanno permesso ai truffatori di lavorare come se lavorassero negli Stati Uniti, ingannando così numerose aziende, tra cui diverse società Fortune 500.
Potrebbe piacerti anche: L'altezza conta: il tappeto che ha finanziato una storia alta
Incidenti e indagini notevoli
Diversi casi di alto profilo hanno dimostrato come questi agenti collegati alla Corea del Nord si siano infiltrati nel settore delle criptovalute, abbiano sfruttato le vulnerabilità e si siano impegnati in attività fraudolente.
Esperti di sicurezza informatica come ZachXBT hanno fornito approfondimenti su queste operazioni attraverso analisi dettagliate sui social media. Di seguito, ne esaminiamo alcuni.
Caso 1: trasferimento di $ 300.000 di Light Fury
ZachXBT ha recentemente messo in luce un incidente che ha coinvolto un presunto lavoratore IT nordcoreano che utilizzava lo pseudonimo di "Light Fury". Operando sotto il falso nome Gary Lee, ZachXBT ha affermato che Light Fury ha trasferito oltre $ 300.000 dal suo indirizzo pubblico Ethereum Name Service (ENS), lightfury.eth, a Kim Sang Man, un nome che è soggetto alle sanzioni dell'Office of Foreign Assets Control (OFAC) elenco.
I lavoratori IT della RPDC sono in genere facili da individuare e non sono le persone più intelligenti. Esempio: Light Fury (@lee_chienhui) è un lavoratore IT della RPDC che ha trasferito oltre 300.000 dollari dal suo indirizzo pubblico ENS a Kim Sang Man che è nell'elenco delle sanzioni dell'OFAC. Nome falso: Gary LeeAlias: Light… https://t.co/2PlGnpYBFi pic.twitter.com/K1Xnd4oPSY
- ZachXBT (@zachxbt) 15 luglio 2024
L’impronta digitale di Light Fury include un account GitHub, che lo mostra come un ingegnere senior di contratti intelligenti che ha dato più di 120 contributi a vari progetti solo nel 2024.
Caso 2: l'hacking dei Munchables
L'hacking di Munchables del marzo 2024 costituisce un altro caso di studio che mostra l'importanza di controlli approfonditi e dei precedenti per le posizioni chiave nei progetti crittografici.
Questo incidente ha comportato l’assunzione di quattro sviluppatori, sospettati di essere la stessa persona della Corea del Nord, incaricati di creare i contratti intelligenti del progetto.
Il falso team era collegato all'hacking da 62,5 milioni di dollari del progetto GameFi ospitato sulla rete Blast layer-2.
Esempio 2: altri quattro lavoratori IT della RPDC che facevano parte del team Munchables e sono stati coinvolti nell'hacking da 62,5 milioni di dollari https://t.co/NqoHZwiSkT
- ZachXBT (@zachxbt) 15 luglio 2024
Gli operatori, con nomi utente GitHub come NelsonMurua913, Werewolves0493, BrightDragon0719 e Super1114, apparentemente hanno mostrato sforzi coordinati raccomandandosi a vicenda per lavori, trasferendo pagamenti agli stessi indirizzi di deposito di scambio e finanziandosi a vicenda.
Inoltre, ZachXBT ha affermato di utilizzare spesso indirizzi di pagamento e indirizzi di deposito di scambio simili, il che indica un'operazione molto affiatata.
Il furto è avvenuto perché i Munchables inizialmente utilizzavano un contratto proxy aggiornabile controllato dai sospetti nordcoreani che si erano insinuati nella squadra, piuttosto che il contratto stesso dei Munchables.
Questa configurazione ha fornito agli infiltrati un controllo significativo sul contratto intelligente del progetto. Hanno sfruttato questo controllo per manipolare il contratto intelligente per assegnarsi un saldo di 1 milione di Ethereum.
Sebbene il contratto sia stato successivamente aggiornato a una versione più sicura, gli slot di stoccaggio manipolati dai presunti agenti nordcoreani sono rimasti invariati.
Secondo quanto riferito, hanno aspettato finché non fosse stato depositato abbastanza ETH nel contratto per rendere utile il loro attacco. Quando è arrivato il momento, hanno trasferito nei loro portafogli ETH per un valore di circa 62,5 milioni di dollari.
Per fortuna la storia ha avuto un lieto fine. Dopo che le indagini hanno rivelato il ruolo degli ex sviluppatori nell’hacking, il resto del team di Munchables li ha coinvolti in intense trattative, a seguito delle quali i malintenzionati hanno accettato di restituire i fondi rubati.
$ 97 milioni sono stati garantiti in un multisig dai contributori principali di Blast. Ho fatto un salto di qualità incredibile in background, ma sono grato che l'ex sviluppatore di Munchables abbia deciso di restituire tutti i fondi alla fine senza richiedere alcun riscatto. @_munchables_ e protocolli che si integrano con esso come @juice_finance...
—Pacman | Blur + Blast (@PacmanBlur) 27 marzo 2024
Caso 3: attacchi ostili alla governance di Holy Pengy
Anche gli attacchi alla governance sono stati una tattica utilizzata da questi falsi candidati al lavoro. Uno di questi presunti autori è Holy Pengy. ZachXBT sostiene che il nome sia uno pseudonimo di Alex Chon, un infiltrato alleato della RPDC.
Quando un membro della comunità ha avvisato gli utenti di un attacco alla governance della tesoreria Indexed Finance, che deteneva 36.000 dollari in DAI e circa 48.000 dollari in NDX, ZachXBT ha collegato l'attacco a Chon.
On-chain è dove le cose si fanno interessanti. La persona dietro l'attacco alla governance di Indexed Finance ne ha anche tentato uno su @relevantfeed tramite 0x9b9 all'inizio di questo mese.0x9b9 è stato finanziato da Alex Chon, un presunto lavoratore IT della RPDC che è stato licenziato da almeno 2 ruoli per sospetti... https://t.co /vXYAmzPxnn pic.twitter.com/nXoVDaWYvZ
- ZachXBT (@zachxbt) 18 novembre 2023
Secondo l'investigatore on-chain, Chon, il cui profilo GitHub presenta un avatar di Pudgy Penguins, cambiava regolarmente il suo nome utente e, secondo quanto riferito, era stato licenziato da almeno due posizioni diverse per comportamento sospetto.
In un precedente messaggio a ZachXBT, Chon, sotto lo pseudonimo di Pengy, si descriveva come un ingegnere senior full-stack specializzato in frontend e solidità. Ha affermato di essere interessato al progetto di ZachXBT e di voler unirsi al suo team.
Un indirizzo a lui collegato è stato identificato come responsabile sia dell'attacco alla governance di Indexed Finance sia di un precedente attacco contro Relevant, una piattaforma web3 di condivisione e discussione di notizie.
Caso 4: attività sospetta in Starlay Finance
Nel febbraio 2024, Starlay Finance ha dovuto affrontare una grave violazione della sicurezza che ha avuto un impatto sulla sua riserva di liquidità sulla rete Acala. Questo incidente ha portato a prelievi non autorizzati, suscitando notevole preoccupazione all'interno della comunità crittografica.
La piattaforma di prestito ha attribuito la violazione a un “comportamento anomalo” nel suo indice di liquidità.
Rapporto sugli incidenti di sicurezza: anomalia nel pool USDC e sfruttamento Riepilogo esecutivo: questo rapporto descrive in dettaglio un incidente critico di sicurezza all'interno del pool di prestito USDC del protocollo Starlay sulla piattaforma Acala EVM. È stato identificato ed eseguito un exploit a causa di un comportamento anomalo in... https://t.co/8Q3od5g6Rc
— Starlay Finance🚀 (@starlay_fi) 9 febbraio 2024
Tuttavia, in seguito all'exploit, un analista crittografico che utilizzava l'handle X @McBiblets, ha sollevato preoccupazioni riguardo al team di sviluppo di Starlay Finance.
Ho esaminato l'incidente di @starlay_fi e c'è qualcosa di estremamente sospetto nel loro team di sviluppo, David e Kevin. Non sarei sorpreso se fossero responsabili del recente attacco e la mia intuizione mi fa pensare che potrebbero essere affiliati alla RPDCEcco perché 🧵
– McBiblets (@mcbiblets) 16 marzo 2024
Come si può vedere nel thread X qui sopra, McBiblets era particolarmente preoccupato per due individui, "David" e "Kevin". L’analista ha scoperto modelli insoliti nelle loro attività e nei contributi al GitHub del progetto.
Secondo loro, David, usando l'alias Wolfwarrier14, e Kevin, identificato come devstar, sembravano condividere connessioni con altri account GitHub come silverstargh e TopDevBeast53.
Pertanto, McBiblets ha concluso che tali somiglianze, insieme agli avvertimenti del Dipartimento del Tesoro sui lavoratori affiliati alla RPDC, suggeriscono che il lavoro di Starley Finance potrebbe essere stato uno sforzo coordinato da parte di un piccolo gruppo di infiltrati collegati alla Corea del Nord per sfruttare il progetto crittografico.
Implicazioni per il settore blockchain e web3
L’apparente proliferazione di sospetti agenti della RPDC in posti di lavoro chiave pone rischi significativi al settore blockchain e web3. Questi rischi non sono solo finanziari ma comportano anche potenziali violazioni dei dati, furto di proprietà intellettuale e sabotaggio.
Ad esempio, gli operatori potrebbero potenzialmente impiantare codice dannoso all’interno di progetti blockchain, compromettendo la sicurezza e la funzionalità di intere reti.
Le società crittografiche ora devono affrontare la sfida di ricostruire la fiducia e la credibilità nei loro processi di assunzione. Anche le implicazioni finanziarie sono gravi, con progetti che potrebbero perdere milioni a causa di attività fraudolente.
Inoltre, il governo degli Stati Uniti ha indicato che i fondi incanalati attraverso queste operazioni spesso finiscono per sostenere le ambizioni nucleari della Corea del Nord, complicando ulteriormente il panorama geopolitico.
Per questo motivo, la comunità deve dare priorità a rigorosi processi di controllo e a migliori misure di sicurezza per salvaguardarsi da tali ingannevoli tattiche di ricerca di lavoro.
È importante che vi sia maggiore vigilanza e collaborazione in tutto il settore per contrastare queste attività dannose e proteggere l’integrità del fiorente ecosistema blockchain e cripto.
Per saperne di più: Colpo di scena inaspettato: la SEC è diventata imputata nella causa sulla classificazione NFT
