Los trabajadores norcoreanos se han estado infiltrando en DeFi durante 7 años: investigador
Según un analista de ciberseguridad, los trabajadores de TI de Corea del Norte han estado incrustados en empresas de cifrado y proyectos financieros descentralizados durante al menos siete años.
“Muchos trabajadores de TI de la RPDC crearon los protocolos que usted conoce y ama, desde el verano de DeFi”, dijo el domingo el desarrollador de MetaMask e investigador de seguridad Taylor Monahan.
Monahan afirmó que más de 40 plataformas DeFi, algunas de ellas con nombres conocidos, han tenido trabajadores de TI norcoreanos trabajando en sus protocolos.
Los "siete años de experiencia en desarrollo de blockchain" en su currículum "no son una mentira", añadió.
El Grupo Lazarus es un colectivo de hackers afiliado a Corea del Norte que ha robado aproximadamente 7 mil millones de dólares en criptomonedas desde 2017, según analistas de la red creadora R3ACH.
Se ha relacionado con los hackeos de más alto perfil de la industria, incluido el exploit Ronin Bridge de 625 millones de dólares en 2022, el hackeo de WazirX de 235 millones de dólares en 2024 y el atraco de Bybit de 1.400 millones de dólares en 2025.
Los comentarios de Monahan se produjeron pocas horas después de que Drift Protocol dijera que tenía “confianza media-alta” de que el reciente exploit de 280 millones de dólares en su contra fue llevado a cabo por un grupo afiliado al estado de Corea del Norte.
Los ejecutivos de DeFi hablan sobre los intentos de infiltración en la RPDC
Tim Ahhl, fundador de Titan Exchange, un agregador DEX con sede en Solana, dijo que en un trabajo anterior, "entrevistamos a alguien que resultó ser un operativo de Lazarus".
Ahhl dijo que el candidato “hizo videollamadas y estaba extremadamente calificado”. Rechazó una entrevista en persona y luego descubrieron su nombre en un “volcado de información” de Lazarus.
La Oficina de Control de Activos Extranjeros de EE. UU. tiene un sitio web donde las empresas de cifrado pueden comparar a las contrapartes con las listas de sanciones actualizadas de la OFAC y estar alerta a patrones consistentes con el fraude de los trabajadores de TI.
Cronología del ataque del Grupo Lazarus. Fuente: Red R3ACH
Relacionado: Drift Protocol dice que el exploit de 280 millones de dólares requirió "meses de preparación deliberada"
Protocolo de deriva objetivo de intermediarios externos de la RPDC
La autopsia de Drift Protocol sobre el exploit de 280 millones de dólares de la semana pasada también señaló a piratas informáticos afiliados a Corea del Norte por el ataque.
Sin embargo, dijo que las reuniones cara a cara que finalmente llevaron a la explotación no fueron con ciudadanos norcoreanos, sino más bien con “terceros intermediarios” con “identidades completamente construidas que incluyen historiales laborales, credenciales públicas y redes profesionales”.
“Años después, parece que Lazarus ahora tiene a personas que no son norcoreanas trabajando para ellos para estafar a la gente en persona”, dijo Ahhl.
Las amenazas a través de entrevistas de trabajo no son sofisticadas
Lazarus Group es el nombre colectivo de "todos los ciberactores patrocinados por el estado de la RPDC", explicó el domingo el detective de blockchain ZachXBT.
“El problema principal es que todos los agrupan a todos cuando la complejidad de las amenazas es diferente”, añadió.
ZachXBT dijo que las amenazas a través de ofertas de trabajo, LinkedIn, correo electrónico, Zoom o entrevistas son "básicas y de ninguna manera sofisticadas... lo único que tienen es que son implacables".
"Si usted o su equipo todavía se enamoran de ellos en 2026, es muy probable que sean negligentes", dijo.
Existen dos tipos de vectores de ataque, uno más sofisticado que el otro. Fuente: ZachXBT
Revista: No más colapsos del 85% de Bitcoin, Taiwán necesita reserva de guerra de BTC: Hodler's Digest