La Fundación Ethereum expone a 100 agentes norcoreanos que se infiltran en empresas de cifrado

Tabla de contenido Una investigación de seguridad integral respaldada por la Fundación Ethereum ha descubierto una violación significativa que involucra a agentes encubiertos integrados dentro de organizaciones Web3. La extensa operación de investigación de seis meses identificó con éxito a 100 personas con conexiones con Corea del Norte que trabajaban dentro de equipos de desarrollo de criptomonedas. Estas revelaciones subrayan un creciente desafío de seguridad operativa en toda la red Ethereum. La Fundación Ethereum apoyó esta evaluación de seguridad integral a través de su programa ETH Rangers, que comenzó a operar a fines de 2024. Esta iniciativa proporcionó fondos para investigadores de seguridad independientes dedicados a mejorar la protección del ecosistema a través de proyectos de infraestructura pública enfocados. En consecuencia, un destinatario estableció el Proyecto Ketman específicamente para monitorear patrones de comportamiento cuestionables de los desarrolladores. El Proyecto Ketman concentró sus esfuerzos en descubrir desarrolladores fraudulentos integrados en empresas Web3 que utilizan identidades falsas de múltiples capas. A lo largo del período de investigación de seis meses, los investigadores identificaron con éxito a 100 personas conectadas con Corea del Norte que actualmente trabajan en organizaciones de criptomonedas. El equipo de investigación contactó a 53 proyectos blockchain diferentes que potencialmente contrataron a estos agentes ocultos sin conocimiento. La fundación validó que estos descubrimientos revelan una importante vulnerabilidad de seguridad operativa que afecta la infraestructura de desarrollo basada en Ethereum. Los investigadores desarrollaron una plataforma de detección de código abierto diseñada para identificar patrones sospechosos en la actividad de los contribuyentes de GitHub. Este programa representa compromisos ampliados para reforzar las medidas de seguridad en todo el ecosistema más amplio. La evidencia de investigación demuestra que los desarrolladores vinculados a Corea del Norte han mantenido roles activos dentro de los equipos de desarrollo de criptomonedas durante varios años. Estos agentes participaron en el desarrollo del proyecto mientras ocultaban sus verdaderas identidades detrás de contribuciones técnicas creíbles. Los analistas de seguridad conectaron numerosas operaciones con el Grupo Lazarus, una organización de delitos cibernéticos patrocinada por el estado. Los informes de la industria calculan que las entidades afiliadas a Corea del Norte han robado con éxito aproximadamente $7 mil millones de plataformas de criptomonedas a partir de 2017. Estas actividades criminales abarcan importantes violaciones de seguridad, incluido el compromiso del Puente Ronin y el incidente de seguridad WazirX. La magnitud del daño financiero demuestra operaciones de guerra cibernética continuas y coordinadas. Los expertos en ciberseguridad observaron que estos desarrolladores integrados con frecuencia demuestran experiencia legítima en el desarrollo de blockchain a pesar de operar bajo identidades fabricadas. Históricamente, numerosos protocolos financieros descentralizados en todo el ecosistema han dependido de dichos contribuyentes. Este problema de infiltración se extiende mucho más allá de los incidentes individuales aislados y abarca la vulnerabilidad fundamental de la infraestructura. Los investigadores descubrieron que numerosas estrategias de infiltración dependen de técnicas de engaño sencillas pero muy eficaces. Estos enfoques incluyen solicitudes de empleo estándar, redes profesionales de LinkedIn y procesos de entrevistas remotas diseñados para establecer credibilidad dentro de los equipos de desarrollo. A través de estos métodos, los operarios se integran con éxito en las operaciones de desarrollo estándar. El Proyecto Ketman documentó señales de alerta recurrentes evidentes en las cuentas de los desarrolladores y las interacciones del sistema. Estos indicadores de advertencia incluyen imágenes de perfil recicladas, configuraciones de idioma contradictorias y exposición inadvertida de cuentas de correo electrónico no relacionadas. Con frecuencia surgen discrepancias durante las sesiones de uso compartido de pantalla o al examinar los historiales de actividad del repositorio de código. La iniciativa de investigación se asoció con Security Alliance para establecer un marco integral para detectar desarrolladores participantes sospechosos. Este esfuerzo de colaboración mejoró las capacidades de detección de amenazas mediante el intercambio coordinado de inteligencia en toda la industria de las criptomonedas. Las organizaciones blockchain ahora poseen recursos mejorados para minimizar la vulnerabilidad a amenazas de seguridad ocultas.