La Fondation Ethereum expose 100 agents nord-coréens infiltrant des sociétés de cryptographie

Table des matières Une enquête de sécurité approfondie soutenue par la Fondation Ethereum a révélé une violation importante impliquant des agents secrets intégrés au sein des organisations Web3. La vaste opération de recherche de six mois a réussi à identifier 100 personnes ayant des liens avec la Corée du Nord et travaillant au sein des équipes de développement de crypto-monnaie. Ces révélations soulignent un défi croissant en matière de sécurité opérationnelle dans l’ensemble du réseau Ethereum. La Fondation Ethereum a soutenu cette évaluation complète de la sécurité par le biais de son programme ETH Rangers, qui a débuté ses activités fin 2024. Cette initiative a financé des chercheurs indépendants en sécurité dédiés à l'amélioration de la protection des écosystèmes grâce à des projets d'infrastructures publiques ciblés. Par conséquent, un bénéficiaire a créé le projet Ketman spécifiquement pour surveiller les modèles de comportement douteux des développeurs. Le projet Ketman a concentré ses efforts sur la découverte de développeurs frauduleux intégrés dans des sociétés Web3 qui utilisent de fausses identités à plusieurs niveaux. Au cours de la période d’enquête de six mois, les chercheurs ont réussi à identifier 100 personnes liées à la Corée du Nord travaillant actuellement au sein d’organisations de crypto-monnaie. L’équipe d’enquête a contacté 53 projets de blockchain différents qui ont potentiellement embauché ces agents dissimulés sans le savoir. La fondation a validé que ces découvertes révèlent une vulnérabilité de sécurité opérationnelle importante affectant l’infrastructure de développement basée sur Ethereum. Les chercheurs ont développé une plateforme de détection open source conçue pour identifier les modèles suspects dans l'activité des contributeurs GitHub. Ce programme représente des engagements élargis en faveur du renforcement des mesures de sécurité dans l’ensemble de l’écosystème. Les preuves d’enquête démontrent que les développeurs liés à la Corée du Nord ont conservé un rôle actif au sein des équipes de développement de crypto-monnaie pendant plusieurs années. Ces agents ont participé au développement du projet tout en cachant leur véritable identité derrière des contributions techniques crédibles. Les analystes de sécurité ont connecté de nombreuses opérations au groupe Lazarus, une organisation cybercriminelle parrainée par l'État. Les rapports de l'industrie estiment que des entités affiliées à la Corée du Nord ont réussi à voler environ 7 milliards de dollars sur des plateformes de cryptomonnaie à partir de 2017. Ces activités criminelles englobent d'importantes failles de sécurité, notamment la compromission du pont Ronin et l'incident de sécurité WazirX. L’ampleur des dommages financiers démontre des opérations de cyberguerre coordonnées et continues. Les experts en cybersécurité ont observé que ces développeurs embarqués font souvent preuve d’une expertise légitime en matière de développement de blockchain, même s’ils opèrent sous des identités fabriquées. De nombreux protocoles financiers décentralisés à travers l’écosystème ont historiquement dépendu de ces contributeurs. Ce problème d’infiltration s’étend bien au-delà des incidents individuels isolés et touche la vulnérabilité fondamentale des infrastructures. Les chercheurs ont découvert que de nombreuses stratégies d’infiltration dépendent de techniques de tromperie simples mais très efficaces. Ces approches incluent des candidatures à un emploi standard, un réseau professionnel LinkedIn et des processus d'entretien à distance conçus pour établir la crédibilité au sein des équipes de développement. Grâce à ces méthodes, les opérateurs s'intègrent avec succès dans les opérations de développement de standards. Le projet Ketman a documenté des signaux d'alarme récurrents évidents dans les comptes de développeurs et les interactions avec le système. Ces indicateurs d’avertissement incluent des images de profil recyclées, des paramètres de configuration linguistique contradictoires et une exposition par inadvertance de comptes de messagerie non liés. Des divergences apparaissent fréquemment lors des sessions de partage d’écran ou lors de l’examen de l’historique des activités du référentiel de code. L'initiative de recherche s'est associée à la Security Alliance pour établir un cadre complet permettant de détecter les participants développeurs suspects. Cet effort de collaboration a amélioré les capacités de détection des menaces grâce à un partage coordonné de renseignements dans l’ensemble du secteur des cryptomonnaies. Les organisations blockchain disposent désormais de ressources améliorées pour minimiser la vulnérabilité aux menaces de sécurité dissimulées.