Des agents nord-coréens présumés utiliseraient de fausses demandes d’emploi pour infiltrer des projets Web3, détournant des millions de dollars et suscitant des inquiétudes en matière de sécurité.
Au cours des dernières années, la blockchain et web3 Les entreprises sont à l’avant-garde de l’innovation technologique. Cependant, pour paraphraser une citation, une grande innovation implique de grands risques.
De récentes révélations ont mis au jour un stratagème sophistiqué mis en place par des agents soupçonnés d’être affiliés à la République populaire démocratique de Corée pour infiltrer le secteur par le biais de fausses candidatures à un emploi, suscitant des inquiétudes quant à la sécurité et à l’intégrité du secteur.
Motifs économiques et cyberstratégies
L’économie de la Corée du Nord a été gravement paralysée par les sanctions internationales, limitant son accès aux ressources cruciales, restreignant les opportunités commerciales et entravant sa capacité à s’engager dans des transactions financières mondiales.
En réponse, le régime a eu recours à diverses méthodes pour contourner ces sanctions, notamment des pratiques de transport maritime illicite, de contrebande et de creusement de tunnels, ainsi que le recours à des sociétés écrans et à des banques étrangères pour effectuer des transactions indirectement.
Cependant, l’une des méthodes les moins conventionnelles de la RPDC augmenter les recettes il s’agit de l’utilisation signalée d’un programme sophistiqué de cybercriminalité qui mènerait des cyberattaques contre des institutions financières, des échanges de crypto-monnaies et d’autres cibles.
L’industrie de la cryptographie a été l’une des plus grandes victimes des cyber-opérations présumées de cet État voyou, un rapport TRM du début de l’année indiquant que la cryptographie a perdu au moins 600 millions de dollars vers la Corée du Nord rien qu’en 2023.
Au total, le rapport indique que la Corée du Nord est responsable du vol de crypto-monnaies d’une valeur exorbitante de 3 milliards de dollars depuis 2017.
La crypto-monnaie semblant être une cible facile et lucrative, des rapports ont fait état d’acteurs liés à la RPDC qui resserrent la vis en infiltrant l’industrie à l’aide de fausses candidatures à un emploi.
Une fois embauchés, ces agents sont mieux placés pour voler et détourner des fonds pour soutenir la Corée du Nord. nucléaire programme d’armement et de contourner les restrictions financières mondiales qui lui sont imposées.
Le modus operandi : de fausses candidatures
D’après les reportages dans les médias et les informations des agences gouvernementales, il semble que les agents de la RPDC aient perfectionné l’art de la tromperie, en créant de fausses identités et de faux CV pour obtenir des emplois à distance dans des entreprises de crypto et de blockchain du monde entier.
Un Axios histoire à partir de mai 2024, il a été souligné comment les spécialistes informatiques nord-coréens manipulaient les pratiques d’embauche américaines pour infiltrer l’espace technologique du pays.
Selon Axios, les agents nord-coréens utilisent des documents falsifiés et de fausses identités, masquant souvent leur véritable localisation à l’aide de VPN. En outre, l’article affirme que ces acteurs malveillants potentiels ciblent principalement les postes sensibles dans le secteur de la blockchain, notamment les développeurs, les spécialistes informatiques et les analystes de sécurité.
300 entreprises touchées par une arnaque aux fausses candidatures à distance
L’ampleur de cette tromperie est vaste, le ministère américain de la Justice ayant récemment révélateur que plus de 300 entreprises américaines ont été dupées en embauchant des Nord-Coréens à travers une arnaque massive au travail à distance.
Ces escrocs ont non seulement occupé des postes dans l’espace blockchain et web3, mais auraient également tenté de pénétrer des zones plus sûres et plus sensibles, y compris des agences gouvernementales.
Selon le ministère de la Justice, les agents nord-coréens ont utilisé des identités américaines volées pour se faire passer pour des professionnels de la technologie nationaux, l’infiltration générant des millions de dollars de revenus pour leur pays assiégé.
Il est intéressant de noter que l’une des organisatrices du projet était une femme de l’Arizona, Christina Marie Chapman, qui aurait facilité le placement de ces travailleurs en créant un réseau de « fermes d’ordinateurs portables » aux États-Unis.
Ces dispositifs auraient permis aux escrocs à l’emploi de se faire passer pour des personnes travaillant aux États-Unis, trompant ainsi de nombreuses entreprises, dont plusieurs sociétés du Fortune 500.
Incidents et enquêtes notables
Plusieurs cas très médiatisés ont montré comment ces agents liés à la Corée du Nord ont infiltré l’industrie de la cryptographie, exploité des vulnérabilités et se sont livrés à des activités frauduleuses.
Des experts en cybersécurité comme ZachXBT ont fourni des informations sur ces opérations grâce à des analyses détaillées sur les réseaux sociaux. Ci-dessous, nous examinons quelques-unes d’entre elles.
Cas 1 : Le transfert de 300 000 $ de Light Fury
ZachXBT a récemment mis en lumière un incident impliquant un informaticien nord-coréen présumé utilisant le pseudonyme « Light Fury ». Opérant sous le faux nom de Gary Lee, ZachXBT a affirmé que Light Fury avait transféré plus de 300 000 $ de son adresse publique Ethereum Name Service (ENS), lightfury.eth, à Kim Sang Man, un nom qui figure sur la liste des sanctions de l’Office of Foreign Assets Control (OFAC).
L’empreinte numérique de Light Fury comprend un compte GitHub, qui le présente comme un ingénieur senior en contrats intelligents qui a apporté plus de 120 contributions à divers projets rien qu’en 2024.
Cas 2 : le piratage de Munchables
Le piratage de Munchables de mars 2024 constitue une autre étude de cas montrant l’importance d’un contrôle approfondi et des vérifications des antécédents pour les postes clés dans les projets de cryptographie.
Cet incident impliquait l’embauche de quatre développeurs, soupçonnés d’être la même personne de Corée du Nord, qui étaient chargés de créer les contrats intelligents du projet.
La fausse équipe a été liée au piratage de 62,5 millions de dollars de la JeuFi projet hébergé sur le réseau de couche 2 Blast.
Les agents, avec des noms d’utilisateur GitHub tels que NelsonMurua913, Werewolves0493, BrightDragon0719 et Super1114, ont apparemment fait preuve d’efforts coordonnés en se recommandant mutuellement pour des emplois, en transférant des paiements vers les mêmes adresses de dépôt d’échange et en finançant les portefeuilles des uns et des autres.
En outre, ZachXBT a déclaré qu’ils utilisaient fréquemment des adresses de paiement et des adresses de dépôt d’échange similaires, ce qui indiquait une opération très soudée.
Le vol a eu lieu parce que Munchables a initialement utilisé un contrat proxy évolutif contrôlé par les Nord-Coréens présumés qui s’étaient infiltrés dans l’équipe, plutôt que le contrat Munchables lui-même.
Cette configuration a donné aux infiltrés un contrôle significatif sur le contrat intelligent du projet. Ils ont exploité ce contrôle pour manipuler le contrat intelligent afin de s’attribuer un solde de 1 million Ethereum.
Bien que le contrat ait été ultérieurement mis à niveau vers une version plus sécurisée, les emplacements de stockage manipulés par les prétendus agents nord-coréens sont restés inchangés.
Ils auraient attendu que suffisamment d’ETH soient déposés dans le contrat pour que leur attaque en vaille la peine. Lorsque le moment fut venu, ils ont transféré environ 62,5 millions de dollars d’ETH dans leurs portefeuilles.
Heureusement, l’histoire a eu une fin heureuse. Après que les enquêtes ont révélé le rôle des anciens développeurs dans le piratage, le reste de l’équipe de Munchables a engagé avec eux d’intenses négociations, à l’issue desquelles les méchants ont accepté de restituer les fonds volés.
Cas 3 : Les attaques hostiles de Holy Pengy contre la gouvernance
Les attaques contre la gouvernance sont également une tactique employée par ces faux candidats à un emploi. L’un de ces auteurs présumés est Holy Pengy. ZachXBT affirme que ce nom est un pseudonyme d’Alex Chon, un infiltré allié à la RPDC.
Lorsqu’un membre de la communauté a alerté les utilisateurs d’une attaque de gouvernance sur le Finance indexée Trésor, qui détenait 36 000 $ en DAI et environ 48 000 $ en NDX, ZachXBT a lié l’attaque à Chon.
Selon l’enquêteur on-chain, Chon, dont le profil GitHub présente un avatar Pudgy Penguins, changeait régulièrement de nom d’utilisateur et aurait été licencié d’au moins deux postes différents pour comportement suspect.
Dans un message précédent adressé à ZachXBT, Chon, sous le pseudonyme Pengy, s’est décrit comme un ingénieur full-stack senior spécialisé dans le frontend et la solidité. Il a affirmé qu’il était intéressé par le projet de ZachXBT et qu’il souhaitait rejoindre son équipe.
Une adresse liée à lui a été identifiée comme étant à l’origine de l’attaque contre la gouvernance d’Indexed Finance et d’une précédente attaque contre Relevant, une plateforme de partage et de discussion d’actualités sur le Web3.
Cas 4 : Activité suspecte chez Starlay Finance
En février 2024, Starlay Finance a été confrontée à une grave faille de sécurité affectant son pool de liquidités sur le réseau Acala. Cet incident a conduit à des retraits non autorisés, suscitant une vive inquiétude au sein de la communauté crypto.
La plateforme de prêt a attribué la violation à un « comportement anormal » de son indice de liquidité.
Cependant, suite à l’exploit, un analyste crypto utilisant le pseudo X @McBiblets, a exprimé des inquiétudes concernant l’équipe de développement de Starlay Finance.
Comme on peut le voir dans le fil de discussion X ci-dessus, McBiblets s’est particulièrement intéressé à deux individus, « David » et « Kevin ». L’analyste a découvert des modèles inhabituels dans leurs activités et leurs contributions au GitHub du projet.
Selon eux, David, utilisant l’alias Wolfwarrier14, et Kevin, identifié comme devstar, semblaient partager des connexions avec d’autres comptes GitHub comme silverstargh et TopDevBeast53.
En tant que tel, McBiblets a conclu que ces similitudes, associées aux avertissements du département du Trésor concernant les travailleurs affiliés à la RPDC, suggéraient que le travail de Starley Finance pourrait avoir été un effort coordonné d’un petit groupe d’infiltrés liés à la Corée du Nord pour exploiter le projet de cryptographie.
Implications pour le secteur de la blockchain et du web3
La prolifération apparente d’agents présumés de la RPDC à des postes clés pose des risques importants pour le secteur de la blockchain et du Web3. Ces risques ne sont pas seulement financiers, mais impliquent également des violations potentielles de données, des vols de propriété intellectuelle et des sabotages.
Par exemple, les agents pourraient potentiellement implanter code malicieux au sein de projets blockchain, compromettant la sécurité et la fonctionnalité de réseaux entiers.
Les entreprises de crypto-monnaies doivent désormais relever le défi de rétablir la confiance et la crédibilité de leurs processus de recrutement. Les implications financières sont également graves, les projets pouvant potentiellement perdre des millions de dollars à cause d’activités frauduleuses.
En outre, le gouvernement américain a indiqué que les fonds acheminés via ces opérations finissent souvent par soutenir les ambitions nucléaires de la Corée du Nord, ce qui complique encore davantage le paysage géopolitique.
C’est pourquoi la communauté doit donner la priorité à des processus de sélection rigoureux et à de meilleures mesures de sécurité pour se prémunir contre de telles tactiques trompeuses de recherche d’emploi.
Il est important de renforcer la vigilance et la collaboration dans l’ensemble du secteur pour contrecarrer ces activités malveillantes et protéger l’intégrité de l’écosystème en plein essor de la blockchain et des crypto-monnaies.
