• A CoinDesk identificou mais de uma dúzia de empresas de criptomoedas que, sem saber, contrataram trabalhadores de TI da República Popular Democrática da Coreia (RPDC), incluindo projetos de blockchain bem estabelecidos como Injective, ZeroLend, Fantom, Sushi, Yearn Finance e Cosmos Hub.

  • Os trabalhadores usaram identidades falsas, passaram com sucesso em entrevistas, passaram por verificações de referências e apresentaram históricos de trabalho genuínos.

  • Contratar trabalhadores da RPDC é contra a lei nos EUA e em outros países que sancionam a Coreia do Norte. Também apresenta um risco de segurança: a CoinDesk encontrou vários exemplos de empresas que contrataram trabalhadores de TI da RPDC e, posteriormente, foram hackeadas.

  • "Todo mundo está lutando para filtrar essas pessoas", disse Zaki Manian, um importante desenvolvedor de blockchain que afirma ter inadvertidamente contratado dois funcionários de TI da RPDC para ajudar a desenvolver o blockchain Cosmos Hub em 2021.

A empresa de criptomoedas Truflation ainda estava em seus estágios iniciais em 2023 quando o fundador Stefan Rust, sem saber, contratou seu primeiro funcionário norte-coreano.

"Estávamos sempre procurando bons desenvolvedores", disse Rust de sua casa na Suíça. Do nada, "um desenvolvedor cruzou a linha".

"Ryuhei" enviou seu currículo pelo Telegram e alegou que estava baseado no Japão. Logo depois que foi contratado, estranhas inconsistências começaram a surgir.

Em um ponto, "eu estava falando com o cara, e ele disse que estava em um terremoto", Rust lembrou. Só que não houve nenhum terremoto recente no Japão. Então o funcionário começou a perder chamadas, e quando ele apareceu, "não era ele", Rust disse. "Era outra pessoa." Quem quer que fosse, tinha abandonado o sotaque japonês.

Rust logo descobriria que "Ryuhei" e outros quatro funcionários – mais de um terço de toda a sua equipe – eram norte-coreanos. Sem querer, Rust foi vítima de um esquema coordenado pela Coreia do Norte para garantir empregos remotos no exterior para seu povo e canalizar os ganhos de volta para Pyongyang.

Autoridades dos EUA intensificaram seus alertas recentemente de que trabalhadores de tecnologia da informação (TI) norte-coreanos estão se infiltrando em empresas de tecnologia, incluindo empregadores de criptomoedas, e usando os lucros para financiar o programa de armas nucleares do estado pária. De acordo com um relatório das Nações Unidas de 2024, esses trabalhadores de TI arrecadam até US$ 600 milhões anualmente para o regime de Kim Jon Un.

Contratar e pagar os trabalhadores – mesmo inadvertidamente – viola as sanções da ONU e é ilegal nos EUA e em vários outros países. Também apresenta um grave risco de segurança, porque hackers norte-coreanos são conhecidos por atacar empresas por meio de trabalhadores secretos.

Uma investigação da CoinDesk agora revela o quão agressiva e frequentemente os candidatos a empregos norte-coreanos têm como alvo empresas de criptomoedas em particular — passando com sucesso em entrevistas, passando por verificações de referências e até mesmo apresentando históricos impressionantes de contribuições de código no repositório de software de código aberto GitHub.

A CoinDesk conversou com mais de uma dúzia de empresas de criptomoedas que disseram ter inadvertidamente contratado trabalhadores de TI da República Popular Democrática da Coreia (RPDC), como o país é oficialmente chamado.

Essas entrevistas com fundadores, pesquisadores de blockchain e especialistas do setor revelam que os trabalhadores de TI norte-coreanos são muito mais prevalentes na indústria de criptomoedas do que se pensava anteriormente. Praticamente todos os gerentes de contratação abordados pela CoinDesk para esta história reconheceram que entrevistaram desenvolvedores norte-coreanos suspeitos, os contrataram sem querer ou conheciam alguém que o fez.

"A porcentagem de seus currículos recebidos, ou pessoas pedindo empregos, ou querendo contribuir — qualquer coisa assim — que provavelmente são da Coreia do Norte é maior que 50% em toda a indústria de criptomoedas", disse Zaki Manian, um importante desenvolvedor de blockchain que diz ter inadvertidamente contratado dois trabalhadores de TI da RPDC para ajudar a desenvolver o blockchain Cosmos Hub em 2021. "Todo mundo está lutando para filtrar essas pessoas."

Entre os empregadores involuntários da RPDC identificados pela CoinDesk estavam vários projetos de blockchain bem estabelecidos, como Cosmos Hub, Injective, ZeroLend, Fantom, Sushi e Yearn Finance. “Isso tudo tem acontecido nos bastidores”, disse Manian.

Esta investigação marca a primeira vez que qualquer uma dessas empresas reconheceu publicamente que inadvertidamente contratou trabalhadores de TI da RPDC.

Em muitos casos, os trabalhadores norte-coreanos conduziam seu trabalho exatamente como empregados típicos; então, os empregadores recebiam principalmente o que pagavam, em certo sentido. Mas a CoinDesk encontrou evidências de trabalhadores posteriormente canalizando seus salários para endereços de blockchain vinculados ao governo norte-coreano.

A investigação da CoinDesk também revelou vários casos em que projetos de criptomoedas que empregavam trabalhadores de TI da RPDC mais tarde foram vítimas de hacks. Em alguns desses casos, a CoinDesk conseguiu vincular os assaltos diretamente a supostos trabalhadores de TI da RPDC na folha de pagamento de uma empresa. Esse foi o caso do Sushi, um importante protocolo financeiro descentralizado que perdeu US$ 3 milhões em um incidente de hacking em 2021.

O Escritório de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA e o Departamento de Justiça começaram a divulgar as tentativas da Coreia do Norte de se infiltrar na indústria de criptomoedas dos EUA em 2022. A CoinDesk descobriu evidências de que trabalhadores de TI da RPDC começaram a trabalhar em empresas de criptomoedas com identidades falsas bem antes disso, pelo menos em 2018.

"Muitas pessoas, eu acho, estão sob a impressão equivocada de que isso é algo novo que aconteceu de repente", disse Manian. "Há contas do GitHub e outras coisas com essas pessoas que, tipo, remontam a 2016, 2017, 2018." (O GitHub, de propriedade da Microsoft, é a plataforma online que muitas organizações de software usam para hospedar código e permitir que os desenvolvedores colaborem.)

A CoinDesk conectou trabalhadores de TI da RPDC a empresas usando vários métodos, incluindo registros de pagamento em blockchain, contribuições públicas de código GitHub, e-mails de funcionários do governo dos EUA e entrevistas diretamente com empresas-alvo. Uma das maiores redes de pagamento norte-coreanas examinadas pela CoinDesk foi descoberta por ZachXBT, um investigador de blockchain que publicou uma lista de desenvolvedores suspeitos da RPDC em agosto.

Anteriormente, os empregadores permaneciam em silêncio devido a preocupações sobre publicidade indesejada ou repercussões legais. Agora, confrontados com extensos registros de pagamento e outras evidências descobertas pela CoinDesk, muitos deles decidiram se apresentar e compartilhar suas histórias pela primeira vez, expondo o sucesso e a escala esmagadores dos esforços da Coreia do Norte para penetrar na indústria de criptomoedas.

Documentos falsos

Após contratar Ryuhei, o funcionário ostensivamente japonês, a Truflation de Rust recebeu uma enxurrada de novos candidatos. Em apenas alguns meses, Rust involuntariamente contratou mais quatro desenvolvedores da RPDC que disseram estar sediados em Montreal, Vancouver, Houston e Cingapura.

O setor de cripto está especialmente maduro para sabotagem por trabalhadores de TI norte-coreanos. A força de trabalho é particularmente global, e as empresas de cripto tendem a se sentir mais confortáveis ​​do que outras contratando desenvolvedores totalmente remotos – até mesmo anônimos.

O CoinDesk analisou as candidaturas de emprego da RPDC que empresas de criptomoedas receberam de diversas fontes, incluindo plataformas de mensagens como Telegram e Discord, quadros de empregos específicos para criptomoedas como Crypto Jobs List e sites de contratação como Indeed.

"Onde eles estão tendo mais sorte em serem contratados é com essas equipes realmente novas e novas que estão dispostas a contratar de um Discord", disse Taylor Monahan, gerente de produto do aplicativo de carteira cripto MetaMask que frequentemente publica pesquisas de segurança relacionadas à atividade cripto da Coreia do Norte. "Eles não têm processos em vigor para contratar pessoas com verificações de antecedentes. Eles estão dispostos a pagar em cripto muitas vezes."

Rust disse que conduziu suas próprias verificações de antecedentes em todos os novos contratados da Truflation. "Eles nos enviaram seus passaportes e carteiras de identidade, nos deram repositórios do GitHub, passaram por um teste e, então, basicamente, nós os trouxemos."

Para olhos destreinados, a maioria dos documentos falsificados parecem indistinguíveis de passaportes e vistos autênticos, embora especialistas tenham dito ao CoinDesk que eles provavelmente teriam sido detectados por serviços profissionais de verificação de antecedentes.

Embora as startups sejam menos propensas a usar verificadores de antecedentes profissionais, "também vemos trabalhadores de TI norte-coreanos em empresas maiores, seja como funcionários reais ou pelo menos como contratados", disse Monahan.

Escondido à vista de todos

Em muitos casos, o CoinDesk descobriu que trabalhadores de TI da RPDC em empresas usavam dados de blockchain disponíveis publicamente.

Em 2021, Manian, o desenvolvedor de blockchain, precisava de ajuda em sua empresa, a Iqlusion. Ele procurou programadores freelancers que pudessem ajudar em um projeto para atualizar o popular blockchain Cosmos Hub. Ele encontrou dois recrutas; eles entregaram com competência.

Manian nunca conheceu os freelancers, “Jun Kai” e “Sarawut Sanit,” pessoalmente. Eles já haviam trabalhado juntos em um projeto de software de código aberto financiado pela THORChain, uma rede de blockchain afiliada, e disseram a Manian que estavam sediados em Cingapura.

"Falei com eles quase todos os dias por um ano", disse Manian. "Eles fizeram o trabalho. E eu fiquei, francamente, muito satisfeito."

Dois anos após os freelancers concluírem seu trabalho, Manian recebeu um e-mail de um agente do FBI investigando transferências de tokens que pareciam ter vindo da Iqlusion a caminho de endereços suspeitos de carteiras criptográficas norte-coreanas. As transferências em questão acabaram sendo pagamentos da Iqlusion para Kai e Sanit.

O FBI nunca confirmou a Manian que os desenvolvedores que ele contratou eram agentes da RPDC, mas a análise da CoinDesk dos endereços de blockchain de Kai e Sanit mostrou que, ao longo de 2021 e 2022, eles canalizaram seus ganhos para dois indivíduos na lista de sanções do OFAC: Kim Sang Man e Sim Hyon Sop.

De acordo com o OFAC, Sim é um representante do Kwangson Banking Corp, um banco norte-coreano que lava fundos de trabalhadores de TI para ajudar a "financiar os programas de armas de destruição em massa e mísseis balísticos da RPDC". Sarawut parece ter canalizado todos os seus ganhos para o Sim e outras carteiras de blockchain vinculadas ao Sim.

Kai, enquanto isso, canalizou quase US$ 8 milhões diretamente para Kim. De acordo com um comunicado do OFAC de 2023, Kim é um representante da Chinyong Information Technology Cooperation Company, operada pela RPDC, que, "por meio de empresas sob seu controle e seus representantes, emprega delegações de trabalhadores de TI da RPDC que operam na Rússia e no Laos".

Os salários da Iqlusion para Kai representaram menos de US$ 50.000 dos quase US$ 8 milhões que ele enviou para Kim, e alguns dos fundos restantes vieram de outras empresas de criptomoedas.

Por exemplo, a CoinDesk descobriu pagamentos da Fundação Fantom, que desenvolve o amplamente utilizado blockchain Fantom, para "Jun Kai" e outro desenvolvedor ligado à RPDC.

"A Fantom identificou dois funcionários externos como envolvidos com a Coreia do Norte em 2021", disse um porta-voz da Fantom Foundation à CoinDesk. "No entanto, os desenvolvedores em questão trabalharam em um projeto externo que nunca foi concluído e nunca foi implantado."

De acordo com a Fundação Fantom, "os dois indivíduos em questão foram demitidos, nunca contribuíram com nenhum código malicioso nem tiveram acesso à base de código do Fantom, e nenhum usuário do Fantom foi afetado". Um dos funcionários da RPDC tentou atacar os servidores do Fantom, mas falhou porque não tinha o acesso necessário, de acordo com o porta-voz.

De acordo com o banco de dados OpenSanctions, os endereços de blockchain vinculados à RPDC de Kim não foram publicados por nenhum governo até maio de 2023 — mais de dois anos depois que a Iqlusion e a Fantom fizeram seus pagamentos.

Margem de manobra dada

Os EUA e a ONU sancionaram a contratação de trabalhadores de TI da RPDC em 2016 e 2017, respectivamente.

É ilegal pagar trabalhadores norte-coreanos nos EUA, quer você saiba disso ou não — um conceito legal chamado "responsabilidade objetiva".

Não importa necessariamente onde uma empresa está sediada: contratar trabalhadores da RPDC pode trazer riscos legais para qualquer empresa que faça negócios em países que aplicam sanções contra a Coreia do Norte.

No entanto, os EUA e outros estados-membros da ONU ainda não processaram nenhuma empresa de criptomoedas por contratar trabalhadores de TI norte-coreanos.

O Departamento do Tesouro dos EUA abriu uma investigação sobre a Iqlusion, sediada nos EUA, mas Manian diz que a investigação foi concluída sem nenhuma penalidade.

As autoridades dos EUA têm sido lenientes em apresentar acusações contra as empresas — reconhecendo, em algum nível, que elas foram vítimas, na melhor das hipóteses, de um tipo de fraude de identidade extraordinariamente elaborado e sofisticado ou, na pior das hipóteses, de um longo golpe do tipo mais humilhante.

Deixando de lado os riscos legais, pagar trabalhadores de TI da RPDC também é "ruim porque você está pagando pessoas que estão basicamente sendo exploradas pelo regime", explicou Monahan, da MetaMask.

De acordo com o relatório de 615 páginas do Conselho de Segurança da ONU, os trabalhadores de TI da RPDC ficam com apenas uma pequena parte de seus contracheques. "Os que ganham menos ficam com 10%, enquanto os que ganham mais podem ficar com 30%", afirma o relatório.

Embora esses salários ainda possam ser altos em relação à média na Coreia do Norte, "não me importa onde eles moram", disse Monahan. "Se eu estiver pagando alguém e eles estiverem literalmente sendo forçados a enviar todo o seu salário para o chefe, isso me deixaria muito desconfortável. Eu ficaria ainda mais desconfortável se o chefe deles fosse, você sabe, o regime norte-coreano."

A CoinDesk entrou em contato com diversos supostos funcionários de TI da RPDC ao longo da reportagem, mas não obteve resposta.

Avançar

A CoinDesk identificou mais de duas dúzias de empresas que empregavam possíveis trabalhadores de TI da RPDC analisando registros de pagamento de blockchain para entidades sancionadas pelo OFAC. Doze empresas apresentadas com os registros confirmaram à CoinDesk que haviam descoberto anteriormente trabalhadores de TI suspeitos da RPDC em suas folhas de pagamento.

Alguns se recusaram a fazer mais comentários por medo de repercussões legais, mas outros concordaram em compartilhar suas histórias na esperança de que outros pudessem aprender com suas experiências.

Em muitos casos, os funcionários da RPDC mostraram-se mais fáceis de identificar depois de serem contratados.

Eric Chen, CEO da Injective, um projeto focado em finanças descentralizadas, disse que contratou um desenvolvedor freelancer em 2020, mas rapidamente o demitiu por baixo desempenho.

"Ele não durou muito", disse Chen. "Ele estava escrevendo um código ruim que não funcionava bem." Foi só no ano passado, quando uma "agência governamental" dos EUA entrou em contato com a Injective, que Chen descobriu que o funcionário estava ligado à Coreia do Norte.

Várias empresas disseram ao CoinDesk que demitiram um funcionário antes mesmo de saber sobre qualquer ligação com a RPDC – digamos, devido a trabalho abaixo do padrão.

'Folha de pagamento de leite por alguns meses'

No entanto, os profissionais de TI da RPDC são semelhantes aos desenvolvedores típicos, pois suas aptidões podem variar.

Por um lado, você terá funcionários que "aparecem, passam por um processo de entrevista e apenas extraem alguns meses de salário da folha de pagamento", disse Manian. "Há também outro lado disso, que é você encontrar essas pessoas que, quando você as entrevista, suas habilidades técnicas reais são realmente fortes."

Rust lembrou de ter "um desenvolvedor muito bom" na Truflation que alegou ser de Vancouver, mas acabou sendo da Coreia do Norte. "Ele era realmente um garoto jovem", disse Rust. "Parecia que ele tinha acabado de sair da faculdade. Um pouco inexperiente, super entusiasmado, muito animado por estar trabalhando em uma oportunidade."

Em outro caso, a Cluster, uma startup de finanças descentralizadas, demitiu dois desenvolvedores em agosto depois que a ZachXBT entrou em contato com evidências de que eles estavam ligados à RPDC.

"É realmente uma loucura o quanto esses caras sabiam", disse o fundador pseudônimo do Cluster, z3n, ao CoinDesk. Em retrospecto, havia algumas "bandeiras vermelhas claras". Por exemplo, "a cada duas semanas eles mudavam seu endereço de pagamento, e a cada mês ou mais eles mudavam seu nome no Discord ou no Telegram".

Webcam desligada

Em conversas com a CoinDesk, muitos empregadores disseram que notaram anormalidades que fizeram mais sentido quando descobriram que seus funcionários provavelmente eram norte-coreanos.

Às vezes, as dicas eram sutis, como funcionários com horários de trabalho que não correspondiam ao seu suposto local de trabalho.

Outros empregadores, como a Truflation, notaram indícios de que um funcionário era composto por várias pessoas se passando por um único indivíduo – algo que o funcionário tentava esconder mantendo sua webcam desligada. (Eles são quase sempre homens).

Uma empresa contratou uma funcionária que aparecia para reuniões pela manhã, mas parecia esquecer tudo o que foi discutido mais tarde no dia — uma peculiaridade que fez mais sentido quando o empregador percebeu que ela estava falando com várias pessoas.

Quando Rust levou suas preocupações sobre Ryuhei, seu funcionário "japonês", a um investidor com experiência em rastrear redes de pagamento criminosas, o investidor rapidamente identificou os outros quatro supostos trabalhadores de TI da RPDC na folha de pagamento da Truflation.

"Cortamos nossos laços imediatamente", disse Rust, acrescentando que sua equipe conduziu uma auditoria de segurança de seu código, aprimorou seus processos de verificação de antecedentes e mudou certas políticas. Uma nova política era exigir que os trabalhadores remotos ligassem suas câmeras.

Um hack de US$ 3 milhões

Muitos dos empregadores consultados pela CoinDesk tinham a impressão equivocada de que os trabalhadores de TI da RPDC operavam independentemente do braço de hackers da Coreia do Norte, mas dados de blockchain e conversas com especialistas revelam que as atividades de hackers do regime e os trabalhadores de TI estão frequentemente vinculados.

Em setembro de 2021, a MISO, uma plataforma construída pela Sushi para lançar tokens cripto, perdeu US$ 3 milhões em um assalto amplamente divulgado. A CoinDesk encontrou evidências de que o ataque estava ligado à contratação pela Sushi de dois desenvolvedores com registros de pagamento de blockchain conectados à Coreia do Norte.

Na época do hack, o Sushi era uma das plataformas mais comentadas no mundo emergente das finanças descentralizadas (DeFi). Mais de US$ 5 bilhões foram depositados no SushiSwap, que serve principalmente como uma "troca descentralizada" para as pessoas trocarem entre criptomoedas sem intermediários.

Joseph Delong, diretor de tecnologia da Sushi na época, rastreou o roubo do MISO até dois desenvolvedores autônomos que ajudaram a construí-lo: indivíduos usando os nomes Anthony Keller e Sava Grujic. Delong disse que os desenvolvedores — que ele agora suspeita serem uma única pessoa ou organização — injetaram código malicioso na plataforma MISO, redirecionando fundos para uma carteira que eles controlavam.

Quando Keller e Grujic foram contratados pela Sushi DAO, a organização autônoma descentralizada que governa o protocolo Sushi, eles forneceram credenciais que pareciam típicas o suficiente – até mesmo impressionantes – para desenvolvedores iniciantes.

Keller operou sob o pseudônimo "eratos1122" em público, mas quando se candidatou para trabalhar na MISO, ele usou o que parecia ser seu nome real, "Anthony Keller". Em um currículo que Delong compartilhou com a CoinDesk, Keller alegou residir em Gainesville, Geórgia, e ter se formado na Universidade de Phoenix com um diploma de bacharel em engenharia da computação. (A universidade não respondeu a uma solicitação de confirmação se havia um graduado com esse nome.)

O currículo de Keller incluía referências genuínas a trabalhos anteriores. Entre os mais impressionantes estava o Yearn Finance, um protocolo de investimento em criptomoedas extremamente popular que oferece aos usuários uma maneira de ganhar juros em uma variedade de estratégias de investimento pré-fabricadas. Banteg, um desenvolvedor principal da Yearn, confirmou que Keller trabalhou no Coordinape, um aplicativo criado pela Yearn para ajudar equipes a colaborar e facilitar pagamentos. (Banteg diz que o trabalho de Keller era restrito ao Coordinape e ele não tinha acesso à base de código principal da Yearn.)

Keller indicou Grujic para a MISO e os dois se apresentaram como “amigos”, de acordo com Delong. Assim como Keller, Grujic forneceu um currículo com seu suposto nome real em vez de seu pseudônimo online, “AristoK3”. Ele alegou ser da Sérvia e graduado pela Universidade de Belgrado com bacharelado em ciência da computação. Sua conta no GitHub estava ativa, e seu currículo listava experiência com vários projetos menores de criptografia e startups de jogos.

Rachel Chu, ex-desenvolvedora principal do Sushi que trabalhou em estreita colaboração com Keller e Grujic antes do assalto, disse que já estava "suspeitando" da dupla antes mesmo de qualquer hack ter ocorrido.

Apesar de alegarem estar do outro lado do mundo, Grujic e Keller "tinham o mesmo sotaque" e o "mesmo jeito de mandar mensagens", disse Chu. "Toda vez que falávamos, eles tinham algum ruído de fundo, como se estivessem em uma fábrica", ela acrescentou. Chu se lembra de ter visto o rosto de Keller, mas nunca o de Grujic. De acordo com Chu, a câmera de Keller estava "ampliada" para que ela nunca conseguisse ver o que estava atrás dele.

Keller e Grujic eventualmente pararam de contribuir para a MISO na mesma época. "Achamos que Anthony e Sava são a mesma pessoa", disse Delong, "então paramos de pagá-los". Esse foi o auge da pandemia da COVID-19, e não era inédito que desenvolvedores remotos de criptomoedas se disfarçassem como várias pessoas para extrair dinheiro extra da folha de pagamento.

Depois que Keller e Grujic foram demitidos no verão de 2021, a equipe do Sushi se esqueceu de revogar o acesso deles à base de código MISO.

Em 2 de setembro, Grujic enviou um código malicioso para a plataforma MISO sob seu nome de tela "Aristok3", redirecionando US$ 3 milhões para uma nova carteira de criptomoedas, com base em uma captura de tela fornecida ao CoinDesk.

A análise da CoinDesk dos registros de pagamento em blockchain sugere uma ligação potencial entre Keller, Grujic e a Coreia do Norte. Em março de 2021, Keller postou um endereço de blockchain em um tweet agora excluído. A CoinDesk descobriu vários pagamentos entre esse endereço, o endereço de hacker de Grujic e os endereços que o Sushi tinha em arquivo para Keller. A investigação interna do Sushi concluiu que o endereço pertencia a Keller, de acordo com Delong.

A CoinDesk descobriu que o endereço em questão enviou a maior parte de seus fundos para "Jun Kai" (o desenvolvedor do Iqlusion que enviou dinheiro para Kim Sang Man, sancionado pelo OFAC) e outra carteira que parece servir como um proxy da RPDC (porque também pagou a Kim).

Dando mais credibilidade à teoria de que Keller e Grujic eram norte-coreanos, a investigação interna do Sushi descobriu que a dupla frequentemente operava usando endereços IP na Rússia, que é onde o OFAC diz que os trabalhadores de TI da RPDC da Coreia do Norte às vezes ficam baseados. (O número de telefone dos EUA no currículo de Keller está fora de serviço, e suas contas "eratos1122" no Github e no Twitter foram excluídas.)

Além disso, a CoinDesk descobriu evidências de que Sushi empregou outro suspeito contratado de TI da RPDC ao mesmo tempo que Keller e Grujic. O desenvolvedor, identificado pela ZachXBT como "Gary Lee", codificou sob o pseudônimo LightFury e canalizou seus ganhos para "Jun Kai" e outro endereço proxy vinculado a Kim.

Depois que Sushi publicamente atribuiu o ataque ao pseudônimo de Keller, "eratos1122", e ameaçou envolver o FBI, Grujic devolveu os fundos roubados. Embora possa parecer contraintuitivo que um trabalhador de TI da RPDC se importasse em proteger uma identidade falsa, os trabalhadores de TI da RPDC parecem reutilizar certos nomes e construir suas reputações ao longo do tempo, contribuindo para muitos projetos, talvez como uma forma de ganhar credibilidade com futuros empregadores.

Alguém pode ter decidido que proteger o pseudônimo de Anthony Keller seria mais lucrativo a longo prazo: em 2023, dois anos após o incidente do Sushi, alguém chamado “Anthony Keller” se candidatou à Truflation, a empresa de Stefan Rust.

Tentativas de contato com "Anthony Keller" e "Sava Grujic" para comentar o assunto não tiveram sucesso.

Assaltos ao estilo da RPDC

A Coreia do Norte roubou mais de US$ 3 bilhões em criptomoedas por meio de hacks nos últimos sete anos, de acordo com a ONU. Dos hacks que a empresa de análise de blockchain Chainalysis rastreou no primeiro semestre de 2023 e que acredita estarem conectados à RPDC, "aproximadamente metade deles envolveu roubo relacionado a trabalhadores de TI", disse Madeleine Kennedy, porta-voz da empresa.

Os ataques cibernéticos norte-coreanos não costumam se assemelhar à versão hollywoodiana de hacking, em que programadores usando capuzes invadem mainframes usando códigos de computador sofisticados e terminais de computador pretos e verdes.

Ataques no estilo DPRK são decididamente de baixa tecnologia. Eles geralmente envolvem alguma versão de engenharia social, onde o invasor ganha a confiança de uma vítima que detém as chaves de um sistema e então extrai essas chaves diretamente por meio de algo tão simples quanto um link de e-mail malicioso.

"Até o momento, nunca vimos a DPRK fazer, tipo, uma exploração real", disse Monahan. "É sempre: engenharia social, e então comprometer o dispositivo, e então comprometer as chaves privadas."

Os profissionais de TI estão bem posicionados para contribuir com os assaltos à RPDC, seja extraindo informações pessoais que podem ser usadas para sabotar um alvo em potencial ou obtendo acesso direto a sistemas de software repletos de dinheiro digital.

Uma série de coincidências

Em 25 de setembro, quando este artigo estava próximo da publicação, a CoinDesk estava programada para uma videochamada com Rust, da Truflation. O plano era checar alguns detalhes que ele havia compartilhado anteriormente.

Um Rust nervoso entrou na chamada 15 minutos atrasado. Ele tinha acabado de ser hackeado.

A CoinDesk entrou em contato com mais de duas dúzias de projetos que pareciam ter sido enganados para contratar trabalhadores de TI da RPDC. Somente nas últimas duas semanas de reportagem, dois desses projetos foram hackeados: Truflation e um aplicativo de empréstimo de criptomoedas chamado Delta Prime.

É muito cedo para determinar se algum dos ataques estava diretamente conectado a alguma contratação inadvertida de profissionais de TI da RPDC.

O Delta Prime foi violado primeiro, em 16 de setembro. A CoinDesk já havia descoberto pagamentos e contribuições de código conectando o Delta Prime a Naoki Murano, um dos desenvolvedores ligados à RPDC divulgados pelo ZachXBT, o detetive pseudônimo do blockchain.

O projeto perdeu mais de US$ 7 milhões, oficialmente por causa de "uma chave privada comprometida". A Delta Prime não respondeu a vários pedidos de comentário.

O hack da Truflation ocorreu menos de duas semanas depois. Rust notou fundos saindo de sua carteira de criptomoedas cerca de duas horas antes da ligação com a CoinDesk. Ele tinha acabado de voltar para casa de uma viagem a Cingapura e estava se esforçando para entender o que tinha feito de errado. "Eu simplesmente não tenho ideia de como isso aconteceu", disse ele. "Eu tinha meus notebooks todos trancados no cofre na parede do meu hotel. Eu tinha meu celular comigo o tempo todo."

Milhões de dólares estavam saindo das carteiras blockchain pessoais de Rust enquanto ele falava. "Quer dizer, isso é uma droga. Essa é a escola dos meus filhos; taxas de pensão."

Truflation e Rust acabaram perdendo cerca de US$ 5 milhões. A causa oficial foi uma chave privada roubada.