Các đặc vụ Triều Tiên bị nghi ngờ bị cáo buộc sử dụng đơn xin việc giả để xâm nhập vào các dự án web3, bòn rút hàng triệu đô la và gây lo ngại về an ninh.

Trong vài năm gần đây, blockchain và web3 đã đi đầu trong đổi mới công nghệ. Tuy nhiên, để diễn giải một câu trích dẫn, sự đổi mới lớn đi kèm với rủi ro lớn. 

Những tiết lộ gần đây đã phát hiện ra một kế hoạch tinh vi của các đặc vụ bị nghi ngờ có liên kết với Cộng hòa Dân chủ Nhân dân Triều Tiên nhằm xâm nhập vào lĩnh vực này thông qua các đơn xin việc giả, gây ra cảnh báo về tính an ninh và tính liêm chính của ngành.

Mục lục

  • Động cơ kinh tế và chiến lược mạng

  • Cách thức hoạt động: đơn xin việc giả

  • 300 công ty bị ảnh hưởng bởi trò lừa đảo xin việc từ xa giả mạo

  • Sự cố và điều tra đáng chú ý

  • Ý nghĩa đối với lĩnh vực blockchain và web3

Động cơ kinh tế và chiến lược mạng

Nền kinh tế Triều Tiên đã bị tê liệt nghiêm trọng bởi các lệnh trừng phạt quốc tế, hạn chế khả năng tiếp cận các nguồn tài nguyên quan trọng, hạn chế các cơ hội thương mại và cản trở khả năng tham gia vào các giao dịch tài chính toàn cầu. 

Để đáp lại, chế độ này đã sử dụng nhiều phương pháp khác nhau để lách các biện pháp trừng phạt này, bao gồm các hoạt động vận chuyển trái phép, buôn lậu và đào hầm, cũng như sử dụng các công ty bình phong và ngân hàng nước ngoài để thực hiện các giao dịch gián tiếp. 

Tuy nhiên, một trong những phương pháp tăng doanh thu độc đáo nhất của DPRK là việc sử dụng chương trình chiến tranh tội phạm mạng tinh vi được cho là tiến hành các cuộc tấn công mạng vào các tổ chức tài chính, sàn giao dịch tiền điện tử và các mục tiêu khác.

Ngành công nghiệp tiền điện tử là một trong những nạn nhân lớn nhất của các hoạt động mạng bị cáo buộc của nhà nước bất hảo này, với một báo cáo TRM từ đầu năm cho thấy tiền điện tử đã mất ít nhất 600 triệu đô la vào tay Triều Tiên chỉ riêng trong năm 2023. 

Tổng cộng, báo cáo tuyên bố rằng Triều Tiên phải chịu trách nhiệm về vụ đánh cắp tiền điện tử trị giá 3 tỷ USD kể từ năm 2017.

Số lượng tiền điện tử được báo cáo là bị đánh cắp bởi các tác nhân có liên quan đến Triều Tiên từ năm 2017 đến năm 2023 | Nguồn: TRM Labs

Với việc tiền điện tử dường như là một mục tiêu mềm và sinh lợi, đã xuất hiện các báo cáo về các tác nhân có liên quan đến CHDCND Triều Tiên đang siết chặt bằng cách thâm nhập vào ngành bằng cách sử dụng các đơn xin việc giả. 

Sau khi được thuê, những đặc vụ này có điều kiện tốt hơn để đánh cắp và bòn rút tiền để hỗ trợ chương trình vũ khí hạt nhân của Triều Tiên và lách các hạn chế tài chính toàn cầu áp đặt lên chương trình này.

Cách thức hoạt động: đơn xin việc giả

Dựa trên những câu chuyện trên các phương tiện truyền thông và thông tin từ các cơ quan chính phủ, có vẻ như các đặc vụ DPRK đã hoàn thiện nghệ thuật lừa dối, tạo ra danh tính và sơ yếu lý lịch giả để đảm bảo công việc từ xa trong các công ty tiền điện tử và blockchain trên toàn thế giới. 

Một câu chuyện của Axios từ tháng 5 năm 2024 đã nêu bật cách các chuyên gia CNTT của Triều Tiên lợi dụng các hoạt động tuyển dụng của người Mỹ để thâm nhập vào không gian công nghệ của đất nước. 

Axios cho biết các đặc vụ Triều Tiên sử dụng tài liệu giả mạo và danh tính giả, thường che giấu vị trí thực của họ bằng VPN. Ngoài ra, câu chuyện còn cho rằng những kẻ xấu này chủ yếu nhắm vào các vai trò nhạy cảm trong lĩnh vực blockchain, bao gồm các nhà phát triển, chuyên gia CNTT và nhà phân tích bảo mật.

300 công ty bị ảnh hưởng bởi trò lừa đảo xin việc từ xa giả mạo

Quy mô của sự lừa dối này là rất lớn, với việc Bộ Tư pháp Hoa Kỳ gần đây tiết lộ rằng hơn 300 công ty Hoa Kỳ đã bị lừa tuyển dụng người Triều Tiên thông qua một vụ lừa đảo làm việc từ xa quy mô lớn. 

Những kẻ lừa đảo này không chỉ lấp đầy các vị trí trong không gian blockchain và web3 mà còn được cho là đã cố gắng xâm nhập vào các khu vực an toàn và nhạy cảm hơn, bao gồm cả các cơ quan chính phủ.

Theo Bộ Tư pháp, các đặc vụ Triều Tiên đã sử dụng danh tính người Mỹ bị đánh cắp để đóng giả là các chuyên gia công nghệ trong nước, với việc xâm nhập tạo ra doanh thu hàng triệu đô la cho đất nước đang bị bao vây của họ.

Điều thú vị là, một trong những người điều phối kế hoạch này là một phụ nữ Arizona, Christina Marie Chapman, người được cho là đã tạo điều kiện thuận lợi cho việc bố trí những công nhân này bằng cách tạo ra một mạng lưới được gọi là “trang trại máy tính xách tay” ở Mỹ. 

Những thiết lập này được cho là đã cho phép những kẻ lừa đảo việc làm xuất hiện như thể họ đang làm việc ở Hoa Kỳ, do đó lừa dối nhiều doanh nghiệp, bao gồm một số công ty Fortune 500.

Bạn cũng có thể thích: Vấn đề về chiều cao: Tấm thảm kéo đã tạo nên một câu chuyện cổ tích

Sự cố và cuộc điều tra đáng chú ý

Một số trường hợp nổi bật đã cho thấy cách các đặc vụ có liên quan đến Triều Tiên này xâm nhập vào ngành công nghiệp tiền điện tử, khai thác các lỗ hổng và tham gia vào các hoạt động lừa đảo. 

Các chuyên gia an ninh mạng như ZachXBT đã cung cấp những hiểu biết sâu sắc về các hoạt động này thông qua các phân tích chi tiết trên mạng xã hội. Dưới đây, chúng tôi xem xét một vài trong số họ.

Trường hợp 1: Chuyển khoản 300 nghìn USD của Light Fury

ZachXBT gần đây đã nêu bật một vụ việc liên quan đến một nhân viên CNTT được cho là của Triều Tiên sử dụng bí danh “Light Fury”. Hoạt động dưới tên giả Gary Lee, ZachXBT tuyên bố Light Fury đã chuyển hơn 300.000 đô la từ địa chỉ Dịch vụ tên Ethereum (ENS) công khai của anh ta, lightfury.eth, cho Kim Sang Man, một cái tên nằm trong lệnh trừng phạt của Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC). danh sách. 

Nhân viên CNTT của DPRK thường dễ bị phát hiện và không phải là những cá nhân thông minh nhất. Ví dụ: Light Fury (@lee_chienhui) là một nhân viên CNTT của CHDCND Triều Tiên đã chuyển hơn 300 nghìn USD từ địa chỉ ENS công khai của mình cho Kim Sang Man, người nằm trong danh sách trừng phạt của OFAC. Tên giả: Gary LeeAlias: Light… https://t.co/2PlGnpYBFi pic.twitter.com/K1Xnd4oPSY

- ZachXBT (@zachxbt) Ngày 15 tháng 7 năm 2024

Dấu chân kỹ thuật số của Light Fury bao gồm một tài khoản GitHub, cho thấy anh ấy là một kỹ sư hợp đồng thông minh cấp cao, người đã có hơn 120 đóng góp cho các dự án khác nhau chỉ trong năm 2024.

Trường hợp 2: vụ hack Munchables

Vụ hack Munchables từ tháng 3 năm 2024 đóng vai trò là một nghiên cứu điển hình khác cho thấy tầm quan trọng của việc xem xét kỹ lưỡng và kiểm tra lý lịch đối với các vị trí chủ chốt trong các dự án tiền điện tử. 

Vụ việc này liên quan đến việc thuê bốn nhà phát triển, bị nghi ngờ là cùng một người đến từ Triều Tiên, những người được giao nhiệm vụ tạo ra các hợp đồng thông minh của dự án. 

Nhóm giả mạo có liên quan đến vụ hack trị giá 62,5 triệu USD vào dự án GameFi được lưu trữ trên mạng Blast lớp 2.

Ví dụ 2: Bốn nhân viên CNTT khác của CHDCND Triều Tiên thuộc nhóm Munchables và có liên quan đến vụ hack 62,5 triệu USD https://t.co/NqoHZwiSkT

- ZachXBT (@zachxbt) Ngày 15 tháng 7 năm 2024

Các hợp tác xã, với tên người dùng GitHub như NelsonMurua913, Werewolves0493, BrightDragon0719 và Super1114, rõ ràng đã thể hiện những nỗ lực phối hợp bằng cách giới thiệu công việc cho nhau, chuyển khoản thanh toán đến cùng địa chỉ tiền gửi trên sàn giao dịch và tài trợ cho ví của nhau.

Ngoài ra, ZachXBT cho biết họ thường xuyên sử dụng các địa chỉ thanh toán và trao đổi địa chỉ tiền gửi tương tự, điều này cho thấy hoạt động có mối liên kết chặt chẽ.

Vụ trộm xảy ra do Munchables ban đầu sử dụng một hợp đồng ủy quyền có thể nâng cấp được kiểm soát bởi những người Triều Tiên bị nghi ngờ đã gia nhập đội, thay vì chính hợp đồng Munchables. 

Thiết lập này cung cấp cho những kẻ xâm nhập quyền kiểm soát đáng kể đối với hợp đồng thông minh của dự án. Họ khai thác quyền kiểm soát này để thao túng hợp đồng thông minh nhằm tự gán cho mình số dư 1 triệu Ethereum. 

Mặc dù hợp đồng sau đó đã được nâng cấp lên phiên bản an toàn hơn nhưng các khe lưu trữ do các đặc vụ được cho là của Triều Tiên thao túng vẫn không thay đổi. 

Theo báo cáo, họ đã đợi cho đến khi đủ ETH được gửi vào hợp đồng để thực hiện cuộc tấn công của họ. Khi đến thời điểm thích hợp, họ đã chuyển số ETH trị giá khoảng 62,5 triệu USD vào ví của mình.

May mắn thay, câu chuyện đã có một kết thúc có hậu. Sau khi các cuộc điều tra tiết lộ vai trò của các nhà phát triển cũ trong vụ hack, phần còn lại của nhóm Munchables đã lôi kéo họ vào các cuộc đàm phán căng thẳng, sau đó những kẻ xấu đã đồng ý trả lại số tiền bị đánh cắp.

97 triệu USD đã được bảo đảm bằng hình thức multisig bởi những người đóng góp cốt lõi của Blast. Đã đạt được mức tăng đáng kinh ngạc nhưng tôi rất biết ơn vì nhà phát triển cũ của Munchables đã chọn trả lại tất cả số tiền cuối cùng mà không cần bất kỳ khoản tiền chuộc nào. @_munchables_ và các giao thức tích hợp với nó như @juice_finance…

— Pacman | Làm mờ + Vụ nổ (@PacmanBlur) Ngày 27 tháng 3 năm 2024

Trường hợp 3: Các cuộc tấn công quản trị thù địch của Holy Pengy

Các cuộc tấn công quản trị cũng là một chiến thuật được sử dụng bởi những người xin việc giả mạo này. Một trong những thủ phạm bị cáo buộc như vậy là Holy Pengy. ZachXBT tuyên bố rằng cái tên đó là bí danh của Alex Chon, một kẻ xâm nhập liên minh với CHDCND Triều Tiên.

Khi một thành viên cộng đồng cảnh báo người dùng về một cuộc tấn công quản trị vào kho bạc Tài chính được lập chỉ mục, nơi nắm giữ 36.000 đô la DAI và khoảng 48.000 đô la trong NDX, ZachXBT đã liên kết cuộc tấn công với Chon.

Trên chuỗi là nơi mọi thứ trở nên thú vị. Kẻ đứng đằng sau cuộc tấn công quản trị Tài chính được lập chỉ mục cũng đã cố gắng thực hiện một cuộc tấn công trên @relevantfeed thông qua 0x9b9 vào đầu tháng này. 0x9b9 được tài trợ bởi Alex Chon, một nhân viên CNTT được cho là của CHDCND Triều Tiên, người đã bị sa thải khỏi ít nhất 2 vai trò vì nghi ngờ… https://t.co /vXYAmzPxnn pic.twitter.com/nXoVDaWYvZ

- ZachXBT (@zachxbt) Ngày 18 tháng 11 năm 2023

Theo điều tra viên trực tuyến, Chon, người có hồ sơ GitHub có hình đại diện của Pudgy Penguins, thường xuyên thay đổi tên người dùng của mình và được cho là đã bị sa thải khỏi ít nhất hai vị trí khác nhau vì hành vi đáng ngờ.

Trong một tin nhắn trước đó gửi tới ZachXBT, Chon, với bí danh Pengy, tự mô tả mình là một kỹ sư full-stack cấp cao chuyên về giao diện người dùng và tính vững chắc. Anh ấy tuyên bố rằng anh ấy quan tâm đến dự án của ZachXBT và muốn tham gia vào nhóm của anh ấy.

Một địa chỉ được liên kết với anh ta được xác định là đứng sau cả cuộc tấn công quản trị Indexed Finance và một địa chỉ trước đó chống lại Relevant, một nền tảng thảo luận và chia sẻ tin tức trên web3.

Trường hợp 4: Hoạt động đáng ngờ trong Starlay Finance

Vào tháng 2 năm 2024, Starlay Finance phải đối mặt với một vi phạm bảo mật nghiêm trọng ảnh hưởng đến nhóm thanh khoản của nó trên Mạng Acala. Sự cố này đã dẫn đến việc rút tiền trái phép, làm dấy lên mối lo ngại đáng kể trong cộng đồng tiền điện tử.

Nền tảng cho vay cho rằng vi phạm là do “hành vi bất thường” trong chỉ số thanh khoản của nó.

Báo cáo sự cố bảo mật: Sự bất thường trong hoạt động khai thác và nhóm USDC Tóm tắt điều hành:Báo cáo này trình bày chi tiết về một sự cố bảo mật nghiêm trọng trong nhóm cho vay USDC của giao thức Starlay trên nền tảng Acala EVM. Một lỗ hổng đã được xác định và thực thi do hành vi bất thường trong… https://t.co/8Q3od5g6Rc

- Tài chính Starlay🚀 (@starlay_fi) Ngày 9 tháng 2 năm 2024

Tuy nhiên, sau vụ khai thác, một nhà phân tích tiền điện tử sử dụng tên X @McBiblets đã nêu lên mối lo ngại về nhóm phát triển Starlay Finance.

Tôi đã xem xét sự cố @starlay_fi và có điều gì đó cực kỳ đáng ngờ về nhóm phát triển của họ, David và Kevin. Tôi sẽ không ngạc nhiên nếu họ chịu trách nhiệm về vụ tấn công gần đây và trực giác của tôi khiến tôi nghĩ rằng họ có thể là chi nhánh của DPRK. Đây là lý do tại sao 🧵

- McBiblets (@mcbiblets) Ngày 16 tháng 3 năm 2024

Như có thể thấy trong chuỗi X ở trên, McBiblets đặc biệt quan tâm đến hai cá nhân, “David” và “Kevin”. Nhà phân tích đã phát hiện ra những mô hình bất thường trong hoạt động và đóng góp của họ cho GitHub của dự án.

Theo họ, David, sử dụng bí danh Wolfwarrier14 và Kevin, được xác định là devstar, dường như đã chia sẻ kết nối với các tài khoản GitHub khác như Silverstargh và TopDevBeast53.

Do đó, McBiblets kết luận rằng những điểm tương đồng đó, cùng với những cảnh báo của Bộ Tài chính về các công nhân làm việc tại CHDCND Triều Tiên, cho thấy công việc của Starley Finance có thể là nỗ lực phối hợp của một nhóm nhỏ những kẻ xâm nhập có liên hệ với Triều Tiên để khai thác dự án tiền điện tử.

Ý nghĩa đối với lĩnh vực blockchain và web3

Sự gia tăng dường như của các đặc vụ DPRK bị nghi ngờ trong các công việc quan trọng gây ra rủi ro đáng kể cho lĩnh vực blockchain và web3. Những rủi ro này không chỉ về mặt tài chính mà còn liên quan đến khả năng vi phạm dữ liệu, trộm cắp tài sản trí tuệ và phá hoại. 

Chẳng hạn, các hacker có khả năng cấy mã độc vào các dự án blockchain, làm tổn hại đến tính bảo mật và chức năng của toàn bộ mạng.

Các công ty tiền điện tử hiện phải đối mặt với thách thức xây dựng lại niềm tin và sự tín nhiệm trong quy trình tuyển dụng của họ. Những tác động tài chính cũng rất nghiêm trọng, với các dự án có khả năng mất hàng triệu đô la vì các hoạt động gian lận. 

Hơn nữa, chính phủ Hoa Kỳ đã chỉ ra rằng các khoản tiền được chuyển qua các hoạt động này thường cuối cùng lại hỗ trợ cho tham vọng hạt nhân của Triều Tiên, làm phức tạp thêm bối cảnh địa chính trị.

Vì lý do đó, cộng đồng phải ưu tiên các quy trình kiểm tra nghiêm ngặt và các biện pháp bảo mật tốt hơn để bảo vệ khỏi các chiến thuật săn việc lừa đảo như vậy. 

Điều quan trọng là phải tăng cường cảnh giác và hợp tác trong toàn ngành để ngăn chặn các hoạt động độc hại này và bảo vệ tính toàn vẹn của hệ sinh thái blockchain và tiền điện tử đang phát triển.

Đọc thêm: Diễn biến bất ngờ: SEC trở thành bị đơn trong vụ kiện phân loại NFT