Comment la Corée du Nord a infiltré l'industrie de la Crypto

• CoinDesk a identifié plus d'une douzaine d'entreprises de Crypto qui ont embauché sans le savoir des travailleurs informatiques de la République populaire démocratique de Corée (RPDC), y compris des projets de blockchain bien établis tels qu'Injective, ZeroLend, Fantom, SUSHI, Yearn Finance et Cosmos Hub.
• Les travailleurs ont utilisé de fausses pièces d’identité, ont réussi les entretiens, ont passé les vérifications de références et ont présenté de véritables antécédents professionnels.
• L'embauche de travailleurs nord-coréens est illégale aux États-Unis et dans d'autres pays sanctionnant la Corée du Nord. Elle présente également un risque pour la sécurité : CoinDesk a recensé de nombreux cas d'entreprises embauchant des informaticiens nord-coréens et ayant ensuite été piratées.
• « Tout le monde a du mal à filtrer ces personnes », a déclaré Zaki Manian, un éminent développeur de blockchain qui dit avoir embauché par inadvertance deux informaticiens de la RPDC pour aider à développer la blockchain Cosmos Hub en 2021.

La société de Crypto Truflation en était encore à ses débuts en 2023 lorsque son fondateur Stefan Rust a embauché sans le savoir son premier employé nord-coréen.

« Nous étions toujours à la recherche de bons développeurs », a déclaré Rust depuis son domicile en Suisse. Soudain, « un développeur a franchi la ligne. »

« Ryuhei » a envoyé son CV sur Telegram, affirmant être basé au Japon. Peu après son embauche, d'étranges incohérences ont commencé à apparaître.

À un moment donné, « Je parlais au type, et il m'a dit qu'il avait été victime d'un tremblement de terre », se souvient Rust. Sauf qu'il n'y avait pas eu de tremblement de terre récent au Japon. Puis l'employé a commencé à manquer des appels, et lorsqu'il est finalement arrivé, « ce n'était T lui », a dit Rust. « C'était quelqu'un d'autre. » Qui que ce soit, il avait perdu l'accent japonais.

Rust allait bientôt Guides que « Ryuhei » et quatre autres employés – plus d'un tiers de son équipe – étaient nord-coréens. Sans le savoir, Rust était devenu la proie d'un stratagème coordonné par la Corée du Nord pour assurer des emplois à l'étranger à ses employés et en redistribuer les bénéfices à Pyongyang.

Les autorités américaines ont récemment intensifié leurs avertissements concernant l'infiltration de travailleurs nord-coréens du Technologies de l'information (TI) dans des entreprises technologiques, notamment des entreprises du secteur des Crypto , et l'utilisation de ces revenus pour financer le programme d'armement nucléaire de cet État paria. Rapport des Nations Unies 2024Ces travailleurs de l'informatique rapportent jusqu'à 600 millions de dollars par an au régime de Kim Jon Un.

L'embauche et le paiement des travailleurs, même par inadvertance, constituent une violation des sanctions de l'ONU et sont illégaux aux États-Unis et dans de nombreux autres pays. Ils représentent également un grave risque pour la sécurité, car les pirates informatiques nord-coréens sont connus pour cibler des entreprises par l'intermédiaire de travailleurs clandestins.

Une enquête de CoinDesk révèle désormais à quel point les candidats à un emploi nord-coréens ont ciblé de manière agressive et fréquente les entreprises de Crypto en particulier, en réussissant avec succès les entretiens, en passant les vérifications de références, et même en présentant des historiques impressionnants de contributions de code sur le référentiel de logiciels open source GitHub.

CoinDesk s'est entretenu avec plus d'une douzaine d'entreprises de Crypto qui ont déclaré avoir embauché par inadvertance des travailleurs informatiques de la République populaire démocratique de Corée (RPDC), comme le pays est officiellement appelé.

Ces entretiens avec des fondateurs, des chercheurs en blockchain et des experts du secteur révèlent que les informaticiens nord-coréens sont bien plus nombreux qu'on ne le pensait dans le secteur des Crypto . Presque tous les responsables du recrutement contactés par CoinDesk pour cet article ont reconnu avoir interviewé des développeurs nord-coréens suspects, les avoir embauchés à leur insu ou connaître quelqu'un qui l'avait fait.

« Le pourcentage de CV entrants, de personnes postulant à un emploi ou souhaitant contribuer – tout ce genre de choses – qui proviennent probablement de Corée du Nord est supérieur à 50 % dans l'ensemble du secteur des Crypto », a déclaré Zaki Manian, un éminent développeur blockchain qui affirme avoir embauché par inadvertance deux informaticiens de RPDC pour l'aider à développer la blockchain Cosmos Hub en 2021. « Tout le monde a du mal à filtrer ces profils. »

Parmi les employeurs involontaires de RPDC identifiés par CoinDesk figuraient plusieurs projets blockchain bien établis, tels que Cosmos Hub, Injective, ZeroLend, Fantom, SUSHI et Yearn Finance. « Tout cela s'est déroulé en coulisses », a déclaré Manian.

Cette enquête marque la première fois que l’une de ces entreprises reconnaît publiquement avoir embauché par inadvertance des travailleurs informatiques de la RPDC.

Dans de nombreux cas, les travailleurs nord-coréens effectuaient leur travail comme des employés ordinaires ; les employeurs obtenaient donc en quelque sorte ce pour quoi ils étaient payés. Mais CoinDesk a découvert des preuves montrant que des travailleurs versaient ensuite leur salaire sur des adresses blockchain liées au gouvernement nord-coréen.

L'enquête de CoinDesk a également révélé plusieurs cas où des projets Crypto employant des informaticiens de RPDC ont été victimes de piratages. Dans certains de ces cas, CoinDesk a pu LINK directement les vols à des informaticiens présumés de RPDC employés par l'entreprise. Tel a été le cas de SUSHI, un important protocole Finance décentralisé qui a perdu 3 millions de dollars lors d'un piratage en 2021.

Le Bureau du contrôle des avoirs étrangers (OFAC) du Département du Trésor américain et leLe ministère de la Justice a commencé à rendre publiques les tentatives nord-coréennes d'infiltrer l'industrie américaine de la Crypto en 2022.CoinDesk a découvert des preuves selon lesquelles les travailleurs informatiques de la RPDC ont commencé à travailler dans des sociétés de Crypto sous de fausses identités bien avant cette date, au moins dès 2018.

« Je pense que beaucoup de gens pensent à tort qu'il s'agit d'un phénomène nouveau et soudain », a déclaré Manian. « Il existe des comptes GitHub et d'autres plateformes appartenant à ces personnes qui remontent à 2016, 2017, 2018. » (GitHub, propriété de Microsoft, est la plateforme en ligne utilisée par de nombreuses entreprises de logiciels pour héberger du code et permettre aux développeurs de collaborer.)

CoinDesk a lié des informaticiens de la RPDC à des entreprises par diverses méthodes, notamment des relevés de paiements blockchain, des contributions publiques au code GitHub, des courriels de responsables gouvernementaux américains et des entretiens directs avec des entreprises ciblées. ONEun des plus grands réseaux de paiement nord-coréens examinés par CoinDesk a été découvert par ZachXBT, un enquêteur spécialisé dans la blockchain qui a publié un article. liste des développeurs présumés de la RPDCen août.

Auparavant, les employeurs gardaient le silence, craignant une publicité indésirable ou des répercussions juridiques. Aujourd'hui, confrontés aux nombreux relevés de paiement et autres preuves découverts par CoinDesk, nombre d'entre eux ont décidé de se manifester et de partager leur histoire pour la première fois, révélant ainsi le succès retentissant et l'ampleur des efforts de la Corée du Nord pour pénétrer le secteur des Crypto .

Faux documents

Après avoir embauché Ryuhei, l'employé prétendument japonais, Truflation, la société de Rust, a reçu un flot de candidatures. En quelques mois seulement, Rust a embauché sans le savoir quatre autres développeurs nord-coréens, basés à Montréal, Vancouver, Houston et Singapour.

Le secteur des Crypto est particulièrement exposé aux sabotages des informaticiens nord-coréens. La main-d'œuvre est particulièrement internationale, et les entreprises de Crypto ont tendance à être plus à l'aise que d'autres à recruter des développeurs entièrement à distance, voire anonymes.

CoinDesk a examiné les candidatures à des emplois en RPDC que les entreprises de Crypto ont reçues de diverses sources, notamment des plateformes de messagerie comme Telegram et Discord, des sites d'emploi spécifiques à la cryptographie comme Crypto Jobs List et des sites de recrutement comme Indeed.

« Ceux qui ont le plus de chance d'être embauchés sont ces équipes vraiment jeunes et pleines d'avenir, prêtes à recruter via Discord », explique Taylor Monahan, chef de produit chez MetaMask, l'application de portefeuille Crypto , qui publie régulièrement des études de sécurité sur les activités Crypto nord-coréennes. « Ils n'ont T de processus en place pour recruter des personnes dont les antécédents ont été vérifiés. Ils sont souvent prêts à payer en Crypto . »

Rust a déclaré avoir effectué ses propres vérifications d'antécédents sur tous les nouveaux employés de Truflation. « Ils nous ont envoyé leurs passeports et cartes ID , nous ont fourni leurs dépôts GitHub, ont passé un test, et puis, en gros, nous les avons embauchés. »

Pour l'œil non averti, la plupart des documents falsifiés semblent impossibles à distinguer des passeports et visas authentiques, bien que les experts aient déclaré à CoinDesk qu'ils auraient probablement été détectés par des services professionnels de vérification des antécédents.

Bien que les startups soient moins susceptibles de faire appel à des vérificateurs d'antécédents professionnels, « nous voyons également des travailleurs informatiques nord-coréens dans de plus grandes entreprises, soit en tant que véritables employés, soit au moins en tant que sous-traitants », a déclaré Monahan.

Se cacher à la vue de tous

Dans de nombreux cas, CoinDesk a découvert que des travailleurs informatiques de la RPDC travaillaient dans des entreprises utilisant des données blockchain accessibles au public.

En 2021, Manian, développeur blockchain, avait besoin d'aide pour son entreprise, Iqlusion. Il a recherché des codeurs freelance susceptibles de l'aider dans un projet de mise à niveau de la célèbre blockchain Cosmos Hub. Il a trouvé deux recrues ; elles ont été à la hauteur.

Manian n'a jamais rencontré en personne les freelances « Jun Kai » et « Sarawut Sanit ». Ils avaient déjà travaillé ensemble sur un projet de logiciel open source financé par THORChain, un réseau blockchain étroitement lié, et ils lui ont indiqué qu'ils étaient basés à Singapour.

« Je leur ai parlé presque tous les jours pendant un an », a déclaré Manian. « Ils ont fait le travail. Et, franchement, j'en étais plutôt satisfait. »

Deux ans après la fin du travail des freelances, Manian a reçu un courriel d'un agent du FBI enquêtant sur des transferts de jetons qui semblaient provenir d'Iqlusion et être destinés à des adresses de portefeuilles Crypto nord-coréens suspectes. Les transferts en question se sont avérés être des paiements d'Iqlusion à Kai et Sanit.

Le FBI n'a jamais confirmé à Manian que les développeurs qu'il avait engagés étaient des agents de la RPDC, mais l'examen par CoinDesk des adresses blockchain de Kai et Sanit a montré qu'en 2021 et 2022, ils ont transféré leurs gains à deux personnes figurant sur la liste des sanctions de l'OFAC :Kim Sang Man et Sim Hyon Sop.

Selon l'OFACSim est un représentant de Kwangson Banking Corp, une banque nord-coréenne qui blanchit les fonds des travailleurs informatiques pour aider à «Finance les programmes d'armes de destruction massive et de missiles balistiques de la RPDC ». Sarawut semble avoir a canalisé tous ses gainsvers Sim et d'autres portefeuilles blockchain liés à Sim.

Kai, pendant ce temps,a canalisé près de 8 millions de dollarsdirectement à Kim. Selon unAvis de l'OFAC 2023Kim est un représentant de la Chinyong Information Technologies Cooperation Company, une société gérée par la RPDC, qui, « par l'intermédiaire d'entreprises sous son contrôle et de leurs représentants, emploie des délégations de travailleurs informatiques de la RPDC qui opèrent en Russie et au Laos ».

Le salaire d'Iqlusion versé à Kai représentait moins de 50 000 $ sur les près de 8 millions de dollars qu'il a envoyés à Kim, et une partie des fonds restants provenait d'autres sociétés de Crypto .

Par exemple, CoinDesk a découvert des paiements de la Fondation Fantom , qui développe la blockchain Fantom largement utilisée, à « Jun Kai » et à un autre développeur lié à la RPDC.

« Fantom a identifié deux membres externes impliqués en Corée du Nord en 2021 », a déclaré un porte-parole de la Fondation Fantom à CoinDesk. « Cependant, les développeurs en question travaillaient sur un projet externe qui n'a jamais été terminé ni déployé. »

Selon la Fondation Fantom , « les deux individus en question ont été licenciés, n'ont jamais contribué à aucun code malveillant ni eu accès au code source de Fantom, et aucun utilisateur de Fantom n'a été impacté. » ONEun des employés de la RPDC a tenté d'attaquer les serveurs de Fantom, mais a échoué, faute d'accès requis, selon le porte-parole.

Selon leBase de données OpenSanctionsLes adresses blockchain liées à la RPDC de Kim n'ont été publiées par aucun gouvernement avant mai 2023, soit plus de deux ans après qu'Iqlusion et Fantom ont effectué leurs paiements.

Une marge de manœuvre est accordée

Les États-Unis et l’ONU ont autorisé l’embauche de travailleurs informatiques de la RPDC en 2016 et 2017, respectivement.

Il est illégal de payer des travailleurs nord-coréens aux États-Unis, que vous le sachiez ou non – un concept juridique appelé « responsabilité stricte ».

L’endroit où une entreprise est basée n’a T nécessairement d’importance : embaucher des travailleurs de la RPDC peut comporter des risques juridiques pour toute entreprise qui fait des affaires dans des pays qui appliquent des sanctions contre la Corée du Nord.

Cependant, les États-Unis et d’autres États membres de l’ONU n’ont pas encore poursuivi une entreprise de Crypto pour avoir embauché des travailleurs informatiques nord-coréens.

Le département du Trésor américain a ouvert une enquête sur Iqlusion, une société basée aux États-Unis, mais Manian affirme que l'enquête s'est terminée sans aucune sanction.

Les autorités américaines ont fait preuve de clémence en matière d’accusations contre ces entreprises, reconnaissant dans une certaine mesure qu’elles étaient victimes, au mieux, d’un type de fraude d’identité inhabituellement élaboré et sophistiqué, ou, au pire, d’une longue escroquerie des plus humiliantes.

Outre les risques juridiques, payer les travailleurs informatiques de la RPDC est également « mauvais parce que vous payez des gens qui sont essentiellement exploités par le régime », a expliqué Monahan de MetaMask.

Selon le Conseil de sécurité de l'ONUrapport de 615 pagesLes informaticiens de la RPDC ne KEEP qu'une petite partie de leur salaire. « Les plus modestes en KEEP 10 %, tandis que les plus riches pourraient en KEEP 30 % », indique le rapport.

Même si ces salaires restent élevés par rapport à la moyenne nord-coréenne, «T importe où ils vivent », a déclaré Monahan. « Si je paye quelqu'un et qu'il est littéralement obligé de verser l'intégralité de son salaire à son patron, cela me mettrait très mal à l'aise. Et ce serait encore plus mal à l'aise si son patron était, vous savez, le régime nord-coréen. »

CoinDesk a contacté plusieurs travailleurs informatiques présumés de la RPDC au cours du reportage, mais n'a pas reçu de réponse.

Se manifester

CoinDesk a identifié plus d'une vingtaine d'entreprises employant potentiellement des informaticiens nord-coréens en analysant les relevés de paiements blockchain effectués auprès d'entités sanctionnées par l'OFAC. Douze entreprises ayant reçu ces relevés ont confirmé à CoinDesk avoir précédemment découvert des informaticiens nord-coréens suspects parmi leurs effectifs.

Certains ont refusé de commenter davantage par crainte de répercussions juridiques, mais d’autres ont accepté de partager leurs histoires dans l’espoir que d’autres puissent Guides de leurs expériences.

Dans de nombreux cas, les employés de la RPDC se sont avérés plus faciles à identifier après leur embauche.

Eric Chen, PDG d'Injective, un projet axé sur la finance décentralisée, a déclaré qu'il avait engagé un développeur indépendant en 2020, mais l'avait rapidement licencié pour sous-performance.

« Il n'a T fait long feu », a déclaré Chen. « Il écrivait du code de mauvaise qualité qui ne fonctionnait T bien. » Ce T que l'année dernière, lorsqu'une agence gouvernementale américaine a contacté Injective, que Chen a appris que l'employé était lié à la Corée du Nord.

Plusieurs entreprises ont déclaré à CoinDesk qu'elles avaient licencié un employé avant même d'avoir connaissance de liens avec la RPDC, par exemple en raison d'un travail de qualité inférieure.

« La paie du lait pendant quelques mois »

Cependant, les travailleurs informatiques de la RPDC sont similaires aux développeurs typiques dans le sens où leurs aptitudes peuvent varier.

D' un côté, vous avez des employés qui « se présentent, passent un entretien et se contentent de récolter quelques mois de salaire », explique Manian. « D'un autre côté, vous rencontrez des personnes dont les compétences techniques sont vraiment solides lors de l'entretien. »

Rust se souvenait d'avoir eu «un très bon développeur » chez Truflation, qui prétendait être originaire de Vancouver, mais qui était en réalité nord-coréen. « C'était vraiment un jeune homme », a déclaré Rust. « On aurait dit qu'il sortait tout juste de l'université. Un BIT novice, super motivé, vraiment excité de travailler sur une opportunité. »

Dans un autre cas, Cluster, une startup Finance décentralisée, a licencié deux développeurs en août après que ZachXBT lui a fourni des preuves de leur lien avec la RPDC.

« C'est vraiment incroyable à quel point ces gens savaient tout », a déclaré à CoinDesk le fondateur anonyme de Cluster, z3n. Rétrospectivement, il y avait des « signaux d'alarme clairs ». Par exemple, « ils changeaient d'adresse de paiement toutes les deux semaines, et environ tous les mois, ils changeaient de nom Discord ou Telegram. »

Webcam désactivée

Lors de conversations avec CoinDesk, de nombreux employeurs ont déclaré avoir remarqué des anomalies qui avaient plus de sens lorsqu'ils ont appris que leurs employés étaient probablement nord-coréens.

Parfois, les indices étaient subtils, comme des horaires de travail des employés qui ne correspondaient T à leur lieu de travail supposé.

D'autres employeurs, comme Truflation, ont remarqué des indices selon lesquels un employé était composé de plusieurs personnes se faisant passer pour une seule personne – ce que l'employé essayait de cacher en gardant sa webcam éteinte. (Il s'agit presque toujours d'hommes).

Une entreprise a embauché une employée qui se présentait aux réunions le matin mais semblait oublier tout ce qui était discuté plus tard dans la journée – une bizarrerie qui a pris tout son sens lorsque l'employeur a réalisé qu'elle avait parlé à plusieurs personnes.

Lorsque Rust a fait part de ses inquiétudes concernant Ryuhei, son employé « japonais », à un investisseur expérimenté dans le suivi des réseaux de paiement criminels, l'investisseur a rapidement identifié les quatre autres travailleurs informatiques présumés de la RPDC figurant sur la liste de paie de Truflation.

« Nous avons immédiatement coupé les ponts », a déclaré Rust, ajoutant que son équipe avait procédé à un audit de sécurité de son code, renforcé ses processus de vérification des antécédents et modifié certaines politiques. ONEune des nouvelles Juridique consistait à exiger des télétravailleurs qu'ils allument leurs caméras.

Un piratage de 3 millions de dollars

De nombreux employeurs consultés par CoinDesk avaient l'impression erronée que les travailleurs informatiques de la RPDC opéraient indépendamment de la branche de piratage informatique de la Corée du Nord, mais les données de la blockchain et les conversations avec des experts révèlent que les activités de piratage du régime et les travailleurs informatiques sont fréquemment liés.

En septembre 2021, MISO, une plateforme construite par SUSHI pour le lancement de jetons Crypto , a perdu 3 millions de dollars dans une braquage largement rapportéCoinDesk a trouvé des preuves que l'attaque était liée à l'embauche par Sushi de deux développeurs avec des enregistrements de paiement blockchain connectés à la Corée du Nord.

Au moment du piratage, SUSHI était ONEune des plateformes les plus en vogue dans le monde émergent de la Finance décentralisée (DeFi). Plus de 5 milliards de dollars avaient été déposés sur Sushiswap, qui sert principalement de plateforme d'échange décentralisée permettant aux utilisateurs d'échanger des cryptomonnaies sans intermédiaire.

Joseph Delong, alors directeur Technologies de Sushi, a remonté la piste du vol MISO jusqu'à deux développeurs indépendants ayant contribué à sa création : Anthony Keller et Sava Grujic. Delong a déclaré que les développeurs – qu'il soupçonne désormais d'être une seule personne ou une seule organisation – ont injecté un code malveillant dans la plateforme MISO, redirigeant les fonds vers un portefeuille qu'ils contrôlaient.

Lorsque Keller et Grujic ont été embauchés par SUSHI DAO, l'organisation autonome décentralisée qui régit le protocole SUSHI , ils ont fourni des informations d'identification qui semblaient assez typiques - voire impressionnantes - pour les développeurs débutants.

Keller opérait publiquement sous le pseudonyme « eratos1122 », mais lorsqu'il a postulé pour travailler chez MISO, il a utilisé ce qui semblait être son vrai nom, « Anthony Keller ». Dans un CV partagé par Delong avec CoinDesk, Keller affirmait résider à Gainesville, en Géorgie, et être titulaire d'une licence en génie informatique de l'Université de Phoenix. (L'université n'a T répondu à notre Request de confirmation concernant l'existence d'un diplômé portant ce nom.)

Le CV de Keller comportait des références authentiques à ses précédents travaux. Parmi ses plus impressionnants figurait Yearn Finance, un protocole d'investissement en Crypto extrêmement populaire qui permet aux utilisateurs de générer des intérêts grâce à diverses stratégies d'investissement prédéfinies. Banteg, développeur CORE chez Yearn, a confirmé que Keller avait travaillé sur Coordinape, une application développée par Yearn pour faciliter la collaboration entre équipes et faciliter les paiements. (Banteg précise que le travail de Keller se limitait à Coordinape et qu'il n'avait T accès au code source CORE de Yearn.)

Keller a recommandé Grujic à MISO et les deux hommes se sont présentés comme des « amis », selon Delong. Comme Keller, Grujic a fourni un CV sous son prétendu vrai nom plutôt que son pseudonyme en ligne, « AristoK3 ». Il prétendait être serbe et titulaire d'une licence en informatique de l'Université de Belgrade. Son compte GitHub était actif et son CV mentionnait son expérience au sein de plusieurs petits projets Crypto et de startups de jeux vidéo.

Rachel Chu, une ancienne développeuse CORE chez SUSHI qui a travaillé en étroite collaboration avec Keller et Grujic avant le braquage, a déclaré qu'elle était déjà « méfiante » à l'égard du duo avant même que le piratage n'ait eu lieu.

Bien qu'ils affirment vivre à l' ONE bout du monde, Grujic et Keller « avaient le même accent » et la même façon d'envoyer des textos », explique Chu. « Chaque fois qu'on se parlait, il y avait un bruit de fond, comme s'ils étaient dans une usine », ajoute-t-elle. Chu se souvient avoir vu le visage de Keller, mais jamais celui de Grujic. Selon Chu, la caméra de Keller était « zoomée » de sorte qu'elle T pouvait jamais distinguer ce qui se passait derrière lui.

Keller et Grujic ont finalement cessé de contribuer à MISO à peu près au même moment. « Nous pensons qu'Anthony et Sava sont la même personne », a déclaré Delong, « alors nous cessons de les rémunérer. » C'était au plus fort de la pandémie de COVID-19, et il n'était pas rare que des développeurs Crypto à distance se fassent passer pour plusieurs personnes afin de soutirer de l'argent supplémentaire aux salaires.

Après que Keller et Grujic aient été licenciés à l'été 2021, l'équipe SUSHI a négligé de révoquer leur accès à la base de code MISO.

Le 2 septembre, Grujic a commis un code malveillant sur la plateforme MISO sous son nom d'écran « Aristok3 », redirigeant 3 millions de dollars vers un nouveau portefeuille de Cryptomonnaie , sur la base d'une capture d'écran fournie à CoinDesk.

L'analyse des enregistrements de paiements blockchain par CoinDesk suggère un LINK potentiel entre Keller, Grujic et la Corée du Nord. En mars 2021, Keller publié Une adresse blockchain dans un tweet désormais supprimé. CoinDesk découvert plusieurs paiements entre cette adresse, l'adresse du pirate informatique de Grujic et les adresses que SUSHI avait enregistrées pour Keller. L'enquête interne de Sushi a finalement conclu que l'adresse appartenait à Keller, selon Delong.

CoinDesk a découvert que l'adresse en question envoyait la plupart de ses fonds à « Jun Kai » (le développeur d'Iqlusion qui a envoyé de l'argent à Kim Sang Man, sanctionné par l'OFAC) et à un autre portefeuille qui semble servir de proxy à la RPDC (car lui aussi a payé Kim).

L'enquête interne de Sushi a confirmé la thèse selon laquelle Keller et Grujic étaient nord-coréens. Elle a révélé que les deux hommes utilisaient fréquemment des adresses IP en Russie, où, selon l'OFAC, les informaticiens nord-coréens de la RPDC sont parfois basés. (Le numéro de téléphone américain figurant sur le CV de Keller est hors service, et ses comptes GitHub et Twitter « eratos1122 » ont été supprimés.)

De plus, CoinDesk a découvert des preuves que SUSHI employait un autre sous-traitant informatique présumé de la RPDCen même temps que Keller et Grujic. Le promoteur,identifié par ZachXBTsous le nom de « Gary Lee », codé sous le pseudonyme LightFury et acheminant ses gains vers « Jun Kai » et une autre adresse proxy liée à Kim.

Après que SUSHI ait publiquement accusé Keller d'avoir attaqué le pseudonyme « eratos1122 » et menacé d'impliquer le FBI, Grujic restitué les fonds volés. Bien qu'il puisse sembler contre-intuitif qu'un travailleur informatique de la RPDC se soucie de protéger une fausse identité, les travailleurs informatiques de la RPDC semblent réutiliser certains noms et construire leur réputation au fil du temps en contribuant à de nombreux projets, peut-être comme un moyen de gagner en crédibilité auprès de futurs employeurs.

Quelqu'un aurait pu décider que protéger l'alias d'Anthony Keller était plus lucratif à long terme : en 2023, deux ans après l'incident de SUSHI , une personne nommée « Anthony Keller » a postulé chez Truflation, la société de Stefan Rust.

Les tentatives de contacter « Anthony Keller » et « Sava Grujic » pour obtenir des commentaires ont été infructueuses.

Des braquages à la RPDC

Selon l'ONU, la Corée du Nord a volé plus de 3 milliards de dollars en Cryptomonnaie au cours des sept dernières années grâce à des piratages informatiques. Parmi les piratages informatiques recensés par la société d'analyse blockchain Chainalysis au premier semestre 2023 et qu'elle soupçonne d'être liés à la RPDC, « environ la moitié impliquaient des vols impliquant des informaticiens », a déclaré Madeleine Kennedy, porte-parole de la société.

Les cyberattaques nord-coréennes ne ressemblent généralement T à la version hollywoodienne du piratage informatique, où des programmeurs portant des sweats à capuche s'introduisent dans des ordinateurs centraux à l'aide d'un code informatique sophistiqué et de terminaux informatiques noirs et verts.

Les attaques de type RPDC sont résolument plus simples d'utilisation. Elles font généralement appel à une forme d'ingénierie sociale, où l'attaquant gagne la confiance d'une victime détenant les clés d'un système, puis les extrait directement par un simple LINK malveillant envoyé par courriel.

« À ce jour, nous n'avons jamais vu la RPDC exploiter une véritable faille », a déclaré Monahan. « Il s'agit toujours d'ingénierie sociale, puis de compromission de l'appareil, puis des clés privées. »

Les travailleurs informatiques sont bien placés pour contribuer aux braquages en RPDC, soit en extrayant des informations personnelles qui pourraient être utilisées pour saboter une cible potentielle, soit en obtenant un accès direct à des systèmes logiciels remplis d’argent numérique.

Une série de coïncidences

Le 25 septembre, alors que cet article était sur le point d'être publié, CoinDesk a programmé une visioconférence avec Rust, de Truflation. L'objectif était de vérifier certains détails qu'il avait partagés précédemment.

Rust, perturbé, a rejoint l'appel avec 15 minutes de retard. Il venait d'être piraté.

CoinDesk a contacté plus d'une vingtaine de projets qui semblaient avoir été dupés pour recruter des informaticiens en RPDC. Rien qu'au cours des deux dernières semaines de publication, deux de ces projets ont été piratés : Truflation et une application d'emprunt de Crypto appelée Delta PRIME.

Il est trop tôt pour déterminer si l’un ou l’autre piratage était directement lié à l’embauche par inadvertance de travailleurs informatiques de la RPDC.

Delta PRIME a été violé en premier, le 16 septembre. CoinDesk avait précédemment paiements non couverts et contributions au code reliant Delta PRIME à Naoki Murano, ONEun des développeurs liés à la RPDC médiatisépar ZachXBT, le détective pseudonyme de la blockchain.

Le projet a perdu plus de 7 millions de dollars,officiellement parce que d'une « clé privée compromise ». Delta PRIME n'a pas répondu aux nombreuses demandes de commentaires.

Le piratage de Truflation a eu lieu moins de deux semaines plus tard. Rust a remarqué que des fonds sortaient de son portefeuille de Crypto environ deux heures avant l'appel avec CoinDesk. Il venait de rentrer d'un voyage à Singapour et cherchait désespérément à comprendre ce qu'il avait fait de mal. « Je n'ai aucune idée de ce qui s'est passé », a-t-il déclaré. « J'avais tous mes carnets enfermés dans le coffre-fort mural de mon hôtel. J'avais mon téléphone portable sur moi tout le temps. »

Des millions de dollars quittaient les portefeuilles blockchain personnels de Rust pendant qu'il parlait. « C'est vraiment nul. C'est l'école de mes enfants ; les frais de retraite. »

Truflation et rouillefinalement perduEnviron 5 millions de dollars. Officiellement, la cause était le vol d'une clé privée.