著者: ZachXBT、暗号探偵。

翻訳：ゴールデンファイナンスシャオゾウ

最近、誰かが悪意のあるコードによって金庫から 130 万ドルを盗んだ後、あるチームが私に助けを求めてきました。

チームが知らなかったのは、開発者として偽の身分で複数の北朝鮮のIT人材を雇用したことだった。

その後、2024 年 6 月から活動しているこれらの開発者に関連する少なくとも 25 の暗号プロジェクトを発見しました。

この事件におけるマネーロンダリングの手口は以下の通り。

1) 盗まれた住所に 130 万ドルを送金

2) deBridge 経由で Solana から Ethereum に 130 万ドルをブリッジ

3) Tornado に 50.2 ETH を入金

4) 16.5 ETHを2つの取引所に送金します

盗まれたアドレスは次のとおりです。

6USfQ9BX33LNvuR44TXr8XKzyEgervPcF4QtZZfWMネット

21 の開発者からの複数の支払いアドレスを使用して、先月で約 375,000 ドルの最近の支払いクラスターを計画することができました。

0 xb721adfc3d9fe01e9b3332183665a503447b1d35

この 1 週間で、私がこれらのプロジェクトに直接連絡するよう依頼したこともご覧になったかもしれません。

これまでに、2023年7月から2024年にかけて北朝鮮のIT担当者が受け取った支払いを含む550万ドルが外貨預金アドレスに流入していた。このアドレスはOFACの制裁対象者シム・ヒョンソプ氏にリンクされていた。

0x8f0212b1a77af1573c6ccdd8775ac3fd09acf014

調査中にいくつかの興味深いことが発見されました。

- ロシアのテレコム IP は、米国とマレーシアの開発者によって使用されています。

- 開発ログの中で、彼らはメモ帳に書いた自分たちの他の身元を誤って明らかにしてしまいました。

- OFAC制裁リストに載っているSang Man Kim氏とSim Hyon Sop氏が関与する支払い先を開発する。

- 人材紹介会社から紹介される開発者もいます。

- 複数のプロジェクトに 3 名以上の相互推薦の IT 担当者がいます。

多くの経験豊富なチームがこれらの開発者を雇用しているため、彼らを犯人として特定するのは不公平です。

チームが今後注力できる指標には次のようなものがあります。

1) お互いに推薦し合う役割

2) 美しい履歴書/GitHub アクティビティ。ただし、職歴については嘘をつく場合もあります。

3) 多くの場合、KYC を喜んで受け入れるように見えますが、チームがこれ以上調査しないことを期待して偽の ID を提出します。

4) 彼らが主張する出身地について具体的な質問をします。

5) 開発者は解雇されましたが、すぐに仕事を探している新しいアカウントがいくつか現れました。

6) 一見すると優秀な開発者に見えるかもしれませんが、仕事のパフォーマンスが低いことがよくあります。

7) ログの表示

8) 人気のNFT pfpsを使用したい

9) アジアのアクセント

あなたが北朝鮮のせいだとされるすべてを巨大な陰謀と呼ぶ人々の一人である場合に備えて。

いずれにせよ、この研究は次のことを証明しています。

アジアでは、企業は偽の ID を使用して 25 を超えるプロジェクトに同時に取り組み、月に 30 万ドルから 50 万ドルを稼ぐことができます。

フォローアップ：

この記事が公開された直後、別のプロジェクトが私のリストに載っていた北朝鮮の IT 担当者 (村野直樹) を雇用したことを発見し、プロジェクト管理者がチャットで私の記事を共有しました。

結局のところ、わずか 2 分以内に、Naoki はチャットを終了し、Github を削除しました。