以太坊基金会支持的 Ketman 项目披露,已在 53 个加密项目中发现约 100 名疑似朝鲜 IT 劳工。相关信息于 4 月 16 日在一份 ETH Rangers 项目总结中公布。
该行动为期 6 个月,由以太坊基金会 ETH Rangers 计划提供经费支持,聚焦于侦查并驱逐潜伏在 Web3 组织中的朝鲜民主主义人民共和国(DPRK)相关人员,这些人员通常以虚假身份伪装渗透。
朝鲜人士如何伪造身份与 KYC 文件
Ketman 项目近期一项调查指出,DPRK 相关人员在 Web3 自由职业平台 OnlyDust 上冒充日本开发者身份活动。
这些人员通过 AI 生成的头像、伪造的日文姓名(如“岩城弘人”“益尾元树”),并在身份验证环节提交虚假的日本身份证明文件。
调查团队在一次视频采访中识破了这一伪装:当要求一名疑似对象用日语自我介绍时,对方摘下耳机后便直接离开了通话。
团队追踪到至少 3 个相关团伙,涉及 11 个代码仓库,累计有 62 个 Pull Request 被合并后才被发现。
开源工具与行业防护框架
除个案追查外,Ketman 还开发了“gh-fake-analyzer”开源 GitHub 账号分析工具,目前已在 PyPI 平台上线。
同时,该项目与 Security Alliance(SEAL)联合编写了“DPRK IT 劳工防护框架”,目前业界已广泛将其视为标准参考资料。
ETH Rangers 计划于 2024 年底携手 Secureum、The Red Guild 和 SEAL 启动,共向 17 名研究成员提供资助。
行动期间,总计追回资金超 580 万美元,上报漏洞 785 例,处理安全事件 36 起。
近年朝鲜相关团伙已窃取数十亿美元加密资产。安全专家警告,IT 劳工渗透往往是更大规模供应链攻击的前奏,而这些攻击背后,通常协同有 DPRK 的专业黑客团队。
