Come la Corea del Nord si è infiltrata nell'industria Cripto

• CoinDesk ha identificato più di una dozzina di aziende Cripto che hanno inconsapevolmente assunto personale IT dalla Repubblica Popolare Democratica di Corea (RPDC), tra cui progetti blockchain consolidati come Injective, ZeroLend, Fantom, SUSHI, Yearn Finanza e Cosmos Hub.
• I lavoratori hanno utilizzato documenti d'identità falsi, hanno superato con successo i colloqui, hanno superato i controlli delle referenze e hanno presentato storie lavorative autentiche.
• L'assunzione di lavoratori della RPDC è contro la legge negli Stati Uniti e in altri paesi che sanzionano la Corea del Nord. Presenta anche un rischio per la sicurezza: CoinDesk ha riscontrato diversi esempi di aziende che assumevano lavoratori IT della RPDC e che successivamente venivano hackerate.
• "Tutti stanno lottando per escludere queste persone", ha affermato Zaki Manian, un importante sviluppatore di blockchain che afferma di aver inavvertitamente assunto due dipendenti IT della RPDC per aiutarli a sviluppare la blockchain di Cosmos Hub nel 2021.

Nel 2023, la società Cripto Truflation era ancora nelle sue fasi iniziali quando il fondatore Stefan Rust assunse inconsapevolmente il suo primo dipendente nordcoreano.

"Eravamo sempre alla ricerca di buoni sviluppatori", ha detto Rust dalla sua casa in Svizzera. All'improvviso, " ONE sviluppatore ha tagliato il traguardo".

"Ryuhei" ha inviato il suo curriculum su Telegram e ha affermato di essere basato in Giappone. Poco dopo la sua assunzione, hanno iniziato a emergere strane incongruenze.

A ONE punto, "Sto parlando con il tizio, e lui ha detto che era in un terremoto", ha ricordato Rust. Solo che non c'era nessun terremoto recente in Giappone. Poi il dipendente ha iniziato a perdere le chiamate, e quando si è presentato, "T era lui", ha detto Rust. "Era qualcun altro". Chiunque fosse aveva eliminato l'accento giapponese.

Rust avrebbe presto Imparare che "Ryuhei" e altri quattro dipendenti, più di un terzo dell'intero team, erano nordcoreani. Senza saperlo, Rust era caduto preda di un piano coordinato dalla Corea del Nord per garantire lavori all'estero per la sua gente e incanalare i guadagni verso Pyongyang.

Le autorità statunitensi hanno intensificato di recente i loro avvertimenti sul fatto che i lavoratori nordcoreani Tecnologie (IT) si stanno infiltrando nelle aziende tecnologiche, compresi i datori di lavoro Cripto , e stanno utilizzando i proventi per finanziare il programma di armi nucleari dello stato paria. Secondo un Rapporto delle Nazioni Unite del 2024, questi lavoratori dell'IT guadagnano fino a 600 milioni di dollari all'anno per il regime di Kim Jon Un.

Assumere e pagare i lavoratori, anche inavvertitamente, viola le sanzioni delle Nazioni Unite ed è illegale negli Stati Uniti e in molti altri paesi. Presenta inoltre un grave rischio per la sicurezza, perché è noto che gli hacker nordcoreani prendono di mira le aziende tramite lavoratori sotto copertura.

Un'indagine CoinDesk rivela ora con quanta aggressività e frequenza i candidati nordcoreani hanno preso di mira in particolare le aziende Cripto , superando con successo i colloqui, superando i controlli delle referenze e persino presentando impressionanti cronologie di contributi di codice sul repository software open source GitHub.

CoinDesk ha parlato con più di una dozzina di aziende Cripto che hanno dichiarato di aver assunto inavvertitamente personale IT dalla Repubblica Popolare Democratica di Corea (RPDC), come viene chiamata ufficialmente la nazione.

Queste interviste con fondatori, ricercatori di blockchain ed esperti del settore rivelano che i lavoratori IT nordcoreani sono molto più diffusi nel settore Cripto di quanto si pensasse in precedenza. Praticamente ogni responsabile delle assunzioni contattato da CoinDesk per questa storia ha ammesso di aver intervistato presunti sviluppatori nordcoreani, di averli assunti inconsapevolmente o di aver conosciuto qualcuno che lo aveva fatto.

"La percentuale dei curriculum in arrivo, o delle persone che chiedono lavoro o vogliono contribuire, o cose del genere, che probabilmente provengono dalla Corea del Nord è superiore al 50% nell'intero settore Cripto ", ha affermato Zaki Manian, un importante sviluppatore di blockchain che afferma di aver assunto inavvertitamente due dipendenti IT della RPDC per aiutare a sviluppare la blockchain di Cosmos Hub nel 2021. "Tutti stanno lottando per filtrare queste persone".

Tra gli inconsapevoli datori di lavoro della DPRK identificati da CoinDesk c'erano diversi progetti blockchain consolidati, come Cosmos Hub, Injective, ZeroLend, Fantom, SUSHI e Yearn Finanza. "Tutto questo è accaduto dietro le quinte", ha affermato Manian.

Questa indagine segna la prima volta in cui una di queste aziende ha ammesso pubblicamente di aver assunto inavvertitamente dipendenti IT della RPDC.

In molti casi, i lavoratori nordcoreani svolgevano il loro lavoro come normali dipendenti; quindi, in un certo senso, i datori di lavoro ottenevano principalmente ciò per cui erano stati pagati. Ma CoinDesk ha trovato prove di lavoratori che in seguito hanno incanalato i loro stipendi verso indirizzi blockchain collegati al governo nordcoreano.

L'indagine di CoinDesk ha anche rivelato diversi casi in cui progetti Cripto che impiegavano lavoratori IT della RPDC sono poi caduti vittime di hack. In alcuni di quei casi, CoinDesk è stata in grado di LINK le rapine direttamente a presunti lavoratori IT della RPDC nel libro paga di un'azienda. Questo è stato il caso di SUSHI, un importante protocollo Finanza decentralizzata che ha perso 3 milioni di dollari in un incidente di hacking nel 2021.

L'Ufficio per il controllo dei beni esteri (OFAC) del Dipartimento del Tesoro degli Stati Uniti e l'Il Dipartimento di Giustizia ha iniziato a rendere pubblici i tentativi della Corea del Nord di infiltrarsi nell'industria Cripto statunitense nel 2022CoinDesk ha scoperto prove che i dipendenti IT della RPDC avevano iniziato a lavorare presso aziende Cripto sotto false identità ben prima di allora, almeno a partire dal 2018.

"Molte persone, credo, hanno l'impressione sbagliata che si tratti di qualcosa di nuovo che è successo all'improvviso", ha detto Manian. "Ci sono account GitHub e altre cose con queste persone che, tipo, risalgono al 2016, 2017, 2018". (GitHub, di proprietà di Microsoft, è la piattaforma online che molte organizzazioni software usano per ospitare codice e consentire agli sviluppatori di collaborare.)

CoinDesk ha collegato i lavoratori IT della DPRK alle aziende utilizzando vari metodi, tra cui registri di pagamento blockchain, contributi al codice GitHub pubblico, e-mail da funzionari del governo statunitense e interviste dirette con le aziende target. ONE delle più grandi reti di pagamento nordcoreane esaminate da CoinDesk è stata scoperta da ZachXBT, un investigatore blockchain che ha pubblicato un elenco dei presunti sviluppatori della RPDCad agosto.

In precedenza, i datori di lavoro rimanevano in silenzio a causa di preoccupazioni circa pubblicità indesiderata o ripercussioni legali. Ora, confrontati con ampi registri di pagamento e altre prove scoperte da CoinDesk, molti di loro hanno deciso di farsi avanti e condividere le loro storie per la prima volta, esponendo il successo travolgente e la portata degli sforzi della Corea del Nord per penetrare nel settore Cripto .

Documenti falsi

Dopo aver assunto Ryuhei, il dipendente apparentemente giapponese, la Truflation di Rust ha ricevuto una valanga di nuovi candidati. Nel giro di pochi mesi, Rust ha inconsapevolmente assunto altri quattro sviluppatori DPRK che hanno dichiarato di avere sede a Montreal, Vancouver, Houston e Singapore.

Il settore Cripto è particolarmente pronto per il sabotaggio da parte dei lavoratori IT nordcoreani. La forza lavoro è particolarmente globale e le aziende Cripto tendono a sentirsi più a loro agio di altre nell'assumere sviluppatori completamente remoti, persino anonimi.

CoinDesk ha esaminato le domande di lavoro nella RPDC ricevute dalle aziende del settore Cripto da diverse fonti, tra cui piattaforme di messaggistica come Telegram e Discord, bacheche di lavoro specifiche per il settore delle criptovalute come Cripto Jobs List e siti di assunzioni come Indeed.

"Il posto in cui hanno più fortuna a farsi assumere è in questi team nuovi e freschi che sono disposti ad assumere da un Discord", ha affermato Taylor Monahan, product manager presso l'app di Cripto MetaMask che pubblica spesso ricerche sulla sicurezza relative all'attività Cripto nordcoreana. "T hanno procedure in atto per assumere persone con controlli dei precedenti. Sono disposti a pagare in Cripto molte volte".

Rust ha detto di aver condotto i suoi controlli di background su tutti i nuovi assunti di Truflation. "Ci hanno inviato i loro passaporti e carte ID , ci hanno dato i repository GitHub, hanno fatto un test e poi, in pratica, li abbiamo assunti".

A un occhio inesperto, la maggior parte dei documenti falsificati sembra indistinguibile dai passaporti e dai visti autentici, anche se gli esperti hanno dichiarato a CoinDesk che probabilmente sarebbero stati individuati dai servizi professionali di controllo dei precedenti penali.

Sebbene le startup siano meno propense a ricorrere a verificatori dei precedenti professionali, "vediamo lavoratori IT nordcoreani anche in aziende più grandi, sia come veri e propri dipendenti, sia come appaltatori", ha affermato Monahan.

Nascosto in bella vista

In molti casi, CoinDesk ha scoperto che i dipendenti IT della RPDC presso le aziende utilizzavano dati blockchain disponibili al pubblico.

Nel 2021, Manian, lo sviluppatore blockchain, aveva bisogno di aiuto nella sua azienda, Iqlusion. Ha cercato programmatori freelance che potessero aiutarlo con un progetto per aggiornare la popolare blockchain Cosmos Hub. Ha trovato due reclute; hanno svolto il loro compito in modo competente.

Manian non ha mai incontrato di persona i freelance, "Jun Kai" e "Sarawut Sanit". In precedenza avevano lavorato insieme a un progetto software open source finanziato da THORChain, una rete blockchain strettamente affiliata, e avevano detto a Manian di avere sede a Singapore.

"Ho parlato con loro quasi ogni giorno per un anno", ha detto Manian. "Hanno fatto il lavoro. E, francamente, sono stato piuttosto soddisfatto".

Due anni dopo che i freelancer avevano completato il loro lavoro, Manian ha ricevuto un'e-mail da un agente dell'FBI che indagava sui trasferimenti di token che sembravano provenire da Iqlusion diretti a presunti indirizzi di wallet di Cripto nordcoreani. I trasferimenti in questione si sono rivelati essere i pagamenti di Iqlusion a Kai e Sanit.

L'FBI non ha mai confermato a Manian che gli sviluppatori da lui ingaggiati fossero agenti della RPDC, ma l'analisi degli indirizzi blockchain di Kai e Sanit da parte di CoinDesk ha mostrato che nel corso del 2021 e del 2022 hanno convogliato i loro guadagni a due individui presenti nell'elenco delle sanzioni dell'OFAC:L'uomo Kim Sang E Sim Hyon Sop.

Secondo l'OFAC, Sim è un rappresentante della Kwangson Banking Corp, una banca nordcoreana che ricicla i fondi dei lavoratori IT per aiutare a "Finanza i programmi di armi di distruzione di massa e missili balistici della RPDC". Sarawut sembra aver ha incanalato tutti i suoi guadagnia Sim e ad altri portafogli blockchain collegati a Sim.

Kai, nel frattempo,ha incanalato quasi 8 milioni di dollaridirettamente a Kim. Secondo unAvviso OFAC 2023Kim è un rappresentante della Chinyong Information Tecnologie Cooperation Company, gestita dalla RPDC, che "attraverso le società sotto il suo controllo e i loro rappresentanti, impiega delegazioni di lavoratori informatici della RPDC che operano in Russia e Laos".

Lo stipendio di Iqlusion a Kai ammontava a meno di 50.000 dollari dei quasi 8 milioni di dollari che aveva inviato a Kim, e parte dei fondi rimanenti provenivano da altre società Cripto .

Ad esempio, CoinDesk ha scoperto pagamenti effettuati dalla Fantom Foundation, che sviluppa la blockchain Fantom ampiamente utilizzata, a favore di "Jun Kai" e di un altro sviluppatore legato alla RPDC.

"Fantom ha identificato due membri del personale esterno coinvolti con la Corea del Nord nel 2021", ha detto un portavoce della Fantom Foundation a CoinDesk. "Tuttavia, gli sviluppatori in questione lavoravano a un progetto esterno che non è mai stato completato e mai implementato".

Secondo la Fantom Foundation, "I due individui in questione sono stati licenziati, non hanno mai contribuito con alcun codice dannoso né hanno mai avuto accesso alla base di codice di Fantom e nessun utente di Fantom è stato colpito". ONE dei lavoratori della DPRK ha tentato di attaccare i server di Fantom ma non ci è riuscito perché non aveva l'accesso richiesto, secondo il portavoce.

Secondo ilBanca dati OpenSanctionsGli indirizzi blockchain di Kim collegati alla RPDC non sono stati pubblicati da alcun governo fino a maggio 2023, più di due anni dopo che Iqlusion e Fantom avevano effettuato i loro pagamenti.

Margine di tolleranza concesso

Gli Stati Uniti e le Nazioni Unite hanno autorizzato l'assunzione di personale informatico proveniente dalla RPDC rispettivamente nel 2016 e nel 2017.

È illegale pagare i lavoratori nordcoreani negli Stati Uniti, indipendentemente dal fatto che lo si faccia consapevolmente o meno: si tratta di un concetto legale chiamato "responsabilità oggettiva".

Inoltre, T è necessariamente importante dove abbia sede un'azienda: assumere lavoratori dalla RPDC può comportare rischi legali per qualsiasi azienda che operi in paesi che impongono sanzioni alla Corea del Nord.

Tuttavia, gli Stati Uniti e altri stati membri delle Nazioni Unite non hanno ancora intentato causa contro un'azienda Cripto per aver assunto dipendenti IT nordcoreani.

Il Dipartimento del Tesoro degli Stati Uniti ha aperto un'indagine su Iqlusion, che ha sede negli Stati Uniti, ma Manian afferma che l'indagine si è conclusa senza alcuna sanzione.

Le autorità statunitensi sono state indulgenti nel muovere accuse contro le aziende, riconoscendo in un certo senso che erano state vittime, nella migliore delle ipotesi, di un tipo insolitamente elaborato e sofisticato di frode d'identità o, nella peggiore delle ipotesi, di una lunga truffa del tipo più umiliante.

A parte i rischi legali, pagare i dipendenti IT della RPDC è "sbagliato perché stai pagando persone che fondamentalmente vengono sfruttate dal regime", ha spiegato Monahan di MetaMask.

Secondo il Consiglio di sicurezza delle Nazioni UniteRapporto di 615 pagine, I lavoratori IT della DPRK KEEP solo una piccola parte delle loro buste paga. "I redditi più bassi KEEP il 10 percento mentre quelli più alti potrebbero KEEP il 30 percento", afferma il rapporto.

Sebbene questi stipendi possano essere ancora alti rispetto alla media in Corea del Nord, "T mi interessa dove vivono", ha detto Monahan. "Se pago qualcuno e lui è letteralmente costretto a inviare l'intero stipendio al suo capo, questo mi metterebbe molto a disagio. Mi metterebbe ancora più a disagio se il suo capo fosse, sai, il regime nordcoreano".

Nel corso della segnalazione, CoinDesk ha contattato diversi presunti dipendenti IT della RPDC, ma non ha ricevuto risposta.

Venendo avanti

CoinDesk ha identificato più di due dozzine di aziende che impiegavano possibili lavoratori IT della RPDC analizzando i registri dei pagamenti blockchain a entità sanzionate dall'OFAC. Dodici aziende a cui sono stati presentati i registri hanno confermato a CoinDesk di aver precedentemente scoperto sospetti lavoratori IT della RPDC nei loro libri paga.

Alcuni hanno rifiutato di rilasciare ulteriori dichiarazioni per timore di ripercussioni legali, ma altri hanno accettato di condividere le loro storie nella speranza che altri possano Imparare dalle loro esperienze.

In molti casi, i dipendenti della RPDC si sono rivelati più facili da identificare dopo essere stati assunti.

Eric Chen, CEO di Injective, un progetto incentrato sulla finanza decentralizzata, ha affermato di aver assunto uno sviluppatore freelance nel 2020, ma di averlo subito licenziato per scarsi risultati.

"T è durato a lungo", ha detto Chen. "Scriveva codice scadente che T funzionava bene". T l'anno scorso, quando un'"agenzia governativa" statunitense ha contattato Injective, Chen ha scoperto che il dipendente era legato alla Corea del Nord.

Diverse aziende hanno dichiarato a CoinDesk di aver licenziato un dipendente prima ancora di essere a conoscenza di eventuali legami con la RPDC, ad esempio a causa di un lavoro scadente.

'Pagamento del latte per qualche mese'

Tuttavia, i lavoratori IT della RPDC sono simili ai tipici sviluppatori in quanto le loro attitudini possono variare.

Da ONE lato, avrai dipendenti che "si presentano, superano un colloquio e semplicemente sperperano lo stipendio per qualche mese di stipendio", ha detto Manian. "C'è anche un altro aspetto, ovvero che incontri queste persone che, quando le intervisti, hanno delle capacità tecniche davvero forti".

Rust ha ricordato di aver avuto "ONE sviluppatore davvero bravo" alla Truflation che sosteneva di essere di Vancouver ma in realtà era della Corea del Nord. "Era davvero un ragazzino", ha detto Rust. "Sembrava che fosse appena uscito dal college. Un BIT' inesperto, molto entusiasta, davvero eccitato di lavorare a un'opportunità".

In un altro caso, Cluster, una startup Finanza decentralizzata, ha licenziato due sviluppatori ad agosto dopo che ZachXBT li aveva contattati fornendo prove del loro legame con la RPDC.

"È davvero pazzesco quanto sapessero questi ragazzi", ha detto a CoinDesk il fondatore pseudonimo di Cluster, z3n. A posteriori, c'erano alcuni "chiari segnali d'allarme". Ad esempio, "ogni due settimane cambiavano il loro indirizzo di pagamento e ogni mese circa cambiavano il loro nome Discord o Telegram".

Webcam spenta

Nelle conversazioni con CoinDesk, molti datori di lavoro hanno affermato di aver notato anomalie che hanno avuto più senso quando hanno scoperto che i loro dipendenti erano probabilmente nordcoreani.

A volte gli indizi erano sottili, come orari di lavoro dei dipendenti che T coincidevano con il loro presunto luogo di lavoro.

Altri datori di lavoro, come Truflation, hanno notato indizi secondo cui un dipendente era in realtà composto da più persone che si spacciavano per un singolo individuo, cosa che il dipendente avrebbe cercato di nascondere tenendo spenta la webcam. (Si tratta quasi sempre di uomini).

ONE ha assunto una dipendente che si presentava alle riunioni al mattino, ma sembrava dimenticare tutto ciò di cui si era parlato più tardi nel corso della giornata: una stranezza che ha avuto ancora più senso quando il datore di lavoro si è reso conto che aveva parlato con più persone.

Quando Rust espresse le sue preoccupazioni su Ryuhei, il suo dipendente "giapponese", a un investitore esperto nel monitoraggio delle reti di pagamento criminali, l'investitore identificò rapidamente gli altri quattro presunti dipendenti del settore IT della RPDC pagati da Truflation.

"Abbiamo immediatamente tagliato i ponti", ha detto Rust, aggiungendo che il suo team ha condotto un audit di sicurezza del suo codice, ha migliorato i suoi processi di controllo dei precedenti e ha cambiato alcune policy. ONE nuova Politiche era quella di richiedere ai lavoratori da remoto di accendere le loro telecamere.

Un hack da 3 milioni di dollari

Molti dei datori di lavoro consultati da CoinDesk avevano l'errata impressione che i dipendenti IT della RPDC operassero indipendentemente dal ramo hacker della Corea del Nord, ma i dati blockchain e le conversazioni con gli esperti rivelano che le attività di hacking del regime e i dipendenti IT sono spesso collegati.

Nel settembre 2021, MISO, una piattaforma creata da SUSHI per il lancio di token Cripto , ha perso 3 milioni di dollari in un rapina ampiamente segnalataCoinDesk ha trovato prove che l'attacco era collegato all'assunzione da parte di Sushi di due sviluppatori con registri di pagamenti blockchain collegati alla Corea del Nord.

Al momento dell'hacking, SUSHI era ONE delle piattaforme più chiacchierate nel mondo emergente della Finanza decentralizzata (DeFi). Più di 5 miliardi di $ erano stati depositati in Sushiswap, che funge principalmente da "scambio decentralizzato" per consentire alle persone di effettuare scambi tra criptovalute senza intermediari.

Joseph Delong, all'epoca direttore Tecnologie di Sushi, ha fatto risalire il furto di MISO a due sviluppatori freelance che hanno contribuito a realizzarlo: individui che usavano i nomi Anthony Keller e Sava Grujic. Delong ha affermato che gli sviluppatori, che ora sospetta fossero una singola persona o organizzazione, hanno iniettato codice dannoso nella piattaforma MISO, reindirizzando i fondi a un portafoglio da loro controllato.

Quando Keller e Grujic furono ingaggiati da SUSHI DAO, l'organizzazione autonoma decentralizzata che governa il protocollo SUSHI , fornirono credenziali che sembravano abbastanza tipiche, persino impressionanti, per degli sviluppatori entry-level.

Keller operava pubblicamente con lo pseudonimo "eratos1122", ma quando si candidò per lavorare su MISO usò quello che sembrava essere il suo vero nome, "Anthony Keller". In un curriculum che Delong ha condiviso con CoinDesk, Keller affermava di risiedere a Gainesville, Georgia, e di essersi laureato presso l'Università di Phoenix con una laurea triennale in ingegneria informatica. (L'università T ha risposto a una Request di conferma dell'esistenza di un laureato con quel nome.)

Il curriculum di Keller includeva riferimenti autentici a lavori precedenti. Tra i più impressionanti c'era Yearn Finanza, un protocollo di investimento in Cripto estremamente popolare che offre agli utenti un modo per guadagnare interessi su una gamma di strategie di investimento predefinite. Banteg, uno sviluppatore CORE di Yearn, ha confermato che Keller ha lavorato su Coordinape, un'app creata da Yearn per aiutare i team a collaborare e facilitare i pagamenti. (Banteg afferma che il lavoro di Keller era limitato a Coordinape e che T aveva accesso alla base di codice CORE di Yearn.)

Keller ha indirizzato Grujic a MISO e i due si sono presentati come "amici", secondo Delong. Come Keller, Grujic ha fornito un curriculum con il suo presunto vero nome anziché il suo pseudonimo online, "AristoK3". Ha affermato di essere serbo e di essersi laureato all'Università di Belgrado con una laurea triennale in informatica. Il suo account GitHub era attivo e il suo curriculum elencava l'esperienza con diversi progetti Cripto più piccoli e startup di gioco.

Rachel Chu, ex sviluppatrice CORE di SUSHI che ha lavorato a stretto contatto con Keller e Grujic prima della rapina, ha affermato di essere stata "sospettosa" nei confronti della coppia già prima che avvenisse qualsiasi attacco informatico.

Nonostante sostenessero di essere dislocati ONE parte del mondo, Grujic e Keller "avevano lo stesso accento" e "lo stesso modo di mandare messaggi", ha detto Chu. "Ogni volta che parlavamo, c'era un po' di rumore di sottofondo, come se fossero in una fabbrica", ha aggiunto. Chu ha ricordato di aver visto il volto di Keller ma mai quello di Grujic. Secondo Chu, la telecamera di Keller era "ingrandita" in modo che T riuscisse mai a distinguere cosa ci fosse dietro di lui.

Keller e Grujic alla fine hanno smesso di contribuire a MISO più o meno nello stesso periodo. "Pensiamo che Anthony e Sava siano la stessa persona", ha detto Delong, "quindi abbiamo smesso di pagarli". Questo era il culmine della pandemia di COVID-19 e non era inaudito che sviluppatori Cripto remoti si spacciassero per più persone per estorcere denaro extra dal libro paga.

Dopo che Keller e Grujic furono licenziati nell'estate del 2021, il team SUSHI si dimenticò di revocare loro l'accesso alla base di codice MISO.

Il 2 settembre, Grujic ha inserito un codice dannoso sulla piattaforma MISO con il suo nickname "Aristok3", reindirizzando 3 milioni di dollari a un nuovo portafoglio Criptovaluta , sulla base di uno screenshot fornito a CoinDesk.

L'analisi di CoinDesk sui registri dei pagamenti blockchain suggerisce un potenziale LINK tra Keller, Grujic e la Corea del Nord. A marzo 2021, Keller pubblicato un indirizzo blockchain in un tweet ora cancellato. CoinDesk ha scoperto più pagamenti tra questo indirizzo, l'indirizzo hacker di Grujic e gli indirizzi che SUSHI aveva in archivio per Keller. L'indagine interna di Sushi ha infine concluso che l'indirizzo apparteneva a Keller, secondo Delong.

CoinDesk ha scoperto che l'indirizzo in questione ha inviato la maggior parte dei suoi fondi a "Jun Kai" (lo sviluppatore di Iqlusion che ha inviato denaro a Kim Sang Man, sanzionato dall'OFAC) e a un altro portafoglio che sembra fungere da proxy della RPDC (perché anch'esso ha pagato Kim).

A ulteriore conferma della teoria secondo cui Keller e Grujic erano nordcoreani, l'indagine interna di Sushi ha scoperto che la coppia operava spesso utilizzando indirizzi IP in Russia, che è dove l'OFAC afferma che a volte hanno sede i dipendenti IT della RPDC della Corea del Nord. (Il numero di telefono statunitense sul curriculum di Keller è fuori servizio e i suoi account Github e Twitter "eratos1122" sono stati eliminati.)

Inoltre, CoinDesk ha scoperto prove che SUSHI impiegava un altro presunto appaltatore informatico della RPDCcontemporaneamente a Keller e Grujic. Lo sviluppatore,identificato da ZachXBTcome "Gary Lee", codificato sotto lo pseudonimo LightFury e convogliava i suoi guadagni verso "Jun Kai" e un altro indirizzo proxy collegato a Kim.

Dopo che SUSHI ha pubblicamente attribuito l'attacco allo pseudonimo di Keller, "eratos1122", e ha minacciato di coinvolgere l'FBI, Grujic ha restituito i fondi rubatiSebbene possa sembrare controintuitivo che un lavoratore IT della RPDC si preoccupi di proteggere un'identità falsa, i lavoratori IT della RPDC sembrano riutilizzare determinati nomi e costruire la propria reputazione nel tempo contribuendo a molti progetti, forse come un modo per guadagnare credibilità con i futuri datori di lavoro.

Qualcuno potrebbe aver deciso che proteggere lo pseudonimo di Anthony Keller sarebbe stato più redditizio a lungo termine: nel 2023, due anni dopo l'incidente SUSHI , un tale di nome "Anthony Keller" presentò domanda a Truflation, l'azienda di Stefan Rust.

I tentativi di contattare "Anthony Keller" e "Sava Grujic" per un commento non hanno avuto successo.

Rapine in stile RPDC

Secondo l'ONU, la Corea del Nord ha rubato più di 3 miliardi di dollari in Criptovaluta tramite hack negli ultimi sette anni. Degli hack che la società di analisi blockchain Chainalysis ha monitorato nella prima metà del 2023 e che ritiene siano collegati alla RPDC, "circa la metà di essi ha coinvolto furti correlati ai dipendenti IT", ha affermato Madeleine Kennedy, portavoce della società.

Gli attacchi informatici nordcoreani T assomigliano di solito alla versione hollywoodiana dell'hacking, in cui programmatori incappucciati si introducono nei mainframe utilizzando un sofisticato codice informatico e terminali informatici neri e verdi.

Gli attacchi in stile DPRK sono decisamente low-tech. Di solito implicano una qualche versione di ingegneria sociale, in cui l'attaccante si guadagna la fiducia di una vittima che detiene le chiavi di un sistema e poi estrae quelle chiavi direttamente tramite qualcosa di semplice come un LINK e-mail dannoso.

"Finora non abbiamo mai visto DPRK fare, tipo, un vero exploit", ha detto Monahan. "È sempre: ingegneria sociale, poi compromissione del dispositivo, e poi compromissione delle chiavi private".

Gli addetti ai sistemi informatici sono nella posizione ideale per contribuire alle rapine della RPDC, sia estraendo informazioni personali che potrebbero essere utilizzate per sabotare un potenziale bersaglio, sia ottenendo l'accesso diretto ai sistemi software pieni di denaro digitale.

Una serie di coincidenze

Il 25 settembre, mentre questo articolo si avvicinava alla pubblicazione, CoinDesk aveva programmato una videochiamata con Rust di Truflation. Il piano era di verificare alcuni dettagli che aveva condiviso in precedenza.

Rust, agitato, si è unito alla chiamata con 15 minuti di ritardo. Era appena stato hackerato.

CoinDesk ha contattato più di due dozzine di progetti che sembravano essere stati ingannati nell'assumere lavoratori IT della RPDC. Solo nelle ultime due settimane di reporting, due di quei progetti sono stati hackerati: Truflation e un'app di prestito di Cripto chiamata Delta PRIME.

È troppo presto per stabilire se uno dei due attacchi sia direttamente collegato all'assunzione involontaria di personale IT della RPDC.

Delta PRIME è stato violato per primo, il 16 settembre. CoinDesk aveva precedentemente pagamenti non coperti E contributi di codice collegamento Delta PRIME a Naoki Murano, ONE degli sviluppatori legati alla RPDC pubblicizzatodi ZachXBT, l'investigatore pseudonimo della blockchain.

Il progetto ha perso più di 7 milioni di dollari,ufficialmente perché di "una chiave privata compromessa". Delta PRIME non ha risposto alle numerose richieste di commento.

L'hack di Truflation è avvenuto meno di due settimane dopo. Rust ha notato che i fondi uscivano dal suo portafoglio Cripto circa due ore prima della chiamata con CoinDesk. Era appena tornato a casa da un viaggio a Singapore e si stava affannando per dare un senso a ciò che aveva fatto di sbagliato. "Non ho proprio idea di come sia successo", ha detto. "Avevo tutti i miei quaderni chiusi a chiave nella cassaforte nel muro del mio hotel. Avevo il mio cellulare con me per tutto il tempo".

Milioni di dollari uscivano dai portafogli personali blockchain di Rust mentre parlava. "Voglio dire, fa davvero schifo. È la scuola dei miei figli; le tasse sulla pensione."

Truflazione e rugginealla fine persocirca 5 milioni di dollari. La causa ufficiale è stata una chiave privata rubata.