- Nordkoreanische IT-Mitarbeiter nutzten falsche Identitäten, um über 25 Kryptoprojekte zu infiltrieren und verdienten damit schätzungsweise 500.000 US-Dollar monatlich.
- ZachXBT gab bekannt, dass 1,3 Millionen US-Dollar aus einer Krypto-Schatzkammer gestohlen wurden, die mit nordkoreanischen Entwicklern in Verbindung steht, die deBridge und Tornado Cash verwendeten.
- Teams, die Kryptoentwickler einstellen, sollten sich vor gefälschten Ausweisen, aufpolierten Lebensläufen und gegenseitigen Empfehlungen in Acht nehmen, um ähnliche Verstöße zu vermeiden.
Eine neue Untersuchung von ZachXBT hat ergeben, dass nordkoreanische IT-Mitarbeiter seit Juni 2024 unter Verwendung gefälschter Identitäten über 25 Kryptowährungsprojekte infiltriert und damit monatlich schätzungsweise 500.000 US-Dollar erwirtschaftet haben. Teams weltweit stellten diese Entwickler unwissentlich ein und nutzten oft ausgeklügelte Methoden, um nicht entdeckt zu werden.
https://twitter.com/zachxbt/status/1824047425822310580
Die Ermittlungen begannen, als ein Team ZachXBT kontaktierte, nachdem 1,3 Millionen Dollar durch Schadcode aus deren Kasse gestohlen worden waren. Weitere Analysen ergaben, dass mehrere Entwickler mit Verbindungen zu Nordkorea hinter dem Diebstahl steckten. Diese Entwickler transferierten die gestohlenen Gelder über deBridge von Solana zu Ethereum und nutzten später Tornado Cash, um die Spur zu verwischen. Die Gelder wurden schließlich an zwei Börsen transferiert.
Anschließend konnte ZachXBT Zahlungen an 21 Entwickler nachverfolgen, wobei sich die letzte Charge auf insgesamt 375.000 US-Dollar belief. Die Untersuchung ergab außerdem einen Geldfluss von 5,5 Millionen US-Dollar an eine mit diesen Entwicklern verbundene Börseneinzahlungsadresse, der sich von Juli 2023 bis 2024 erstreckte. Zu den in Verbindung stehenden Personen gehörte Sim Hyon Sop, eine vom Office of Foreign Assets Control (OFAC) sanktionierte Person.
Neben den finanziellen Erkenntnissen förderte die Untersuchung auch einige ungewöhnliche Details zutage. So gab es beispielsweise eine Überschneidung bei den IP-Adressen aus Russland, obwohl die Entwickler behaupteten, in den USA und Malaysia zu sein.
Darüber hinaus gab ein Entwickler während der Aufzeichnung versehentlich seine wahre Identität preis. Darüber hinaus verwiesen sich diese Entwickler häufig gegenseitig auf Rollen, reichten bei KYC-Prozessen gefälschte Ausweise ein und zeigten verdächtiges Verhalten, beispielsweise indem sie sich nach einer Entlassung schnell wieder auf neue Stellen bewarben.
https://twitter.com/zachxbt/status/1824047480121729425
Teams, die diese Entwickler einstellen, sollten auf bestimmte Warnsignale achten. Dazu gehören Entwickler, die sich gegenseitig empfehlen, aufpolierte Lebensläufe und die Einreichung gefälschter Ausweise. Darüber hinaus haben diese Entwickler oft einen ausgeprägten asiatischen Akzent und neigen dazu, nach einer anfänglichen Kompetenzphase unterdurchschnittliche Leistungen zu erbringen.
Darüber hinaus unterstreicht die Untersuchung von ZachXBT, dass ein einzelnes asiatisches Unternehmen mithilfe dieser irreführenden Taktiken erhebliche Summen aus mehreren Projekten erhält. Dies unterstreicht die Notwendigkeit einer erhöhten Kontrolle bei der Einstellung von Remote-Entwicklern, insbesondere im Kryptobereich.