L'investigatore Blockchain ZachXBT ha rilasciato informazioni riguardanti sviluppatori nordcoreani che avrebbero rubato 1,3 milioni di dollari dalle casse di un progetto.
Il furto è stato effettuato quando gli sviluppatori, assunti utilizzando identità false, hanno iniettato nel sistema un codice dannoso che ha consentito il trasferimento non autorizzato di fondi.
ZachXBT scopre lo schema dei lavoratori crittografici
ZachXBT ha spiegato su X che i fondi rubati sono stati inizialmente inviati a un indirizzo di furto e collegati da Solana a Ethereum attraverso la piattaforma deBridge. I fondi, 50,2 ETH, sono stati depositati in Tornado Cash, un mixer crittografico che oscura le tracce delle transazioni. Successivamente, 16,5 ETH sono stati trasferiti su due scambi.
1/ Recentemente un team mi ha contattato per chiedere assistenza dopo che sono stati rubati 1,3 milioni di dollari dal tesoro a seguito della diffusione di un codice dannoso.
All'insaputa del team, avevano assunto diversi lavoratori IT della RPDC come sviluppatori che utilizzavano identità false.
Ho quindi scoperto oltre 25 progetti crittografici con… pic.twitter.com/W7SgY97Rd8
– ZachXBT (@zachxbt) 15 agosto 2024
Secondo ZachXBT, da giugno 2024, i lavoratori IT nordcoreani si sono infiltrati in oltre 25 progetti crittografici utilizzando più indirizzi di pagamento. Ha osservato che potrebbe esserci un'unica entità in Asia, probabilmente con sede in Corea del Nord, che riceve tra i 300.000 e i 500.000 dollari ogni mese e impiega almeno 21 lavoratori in diversi progetti crittografici.
Ulteriori analisi hanno rilevato che prima di questo caso, 5,5 milioni di dollari erano stati incanalati in un indirizzo di deposito di cambio legato ai pagamenti effettuati ai lavoratori IT nordcoreani da luglio 2023 a luglio 2024. Questi pagamenti erano collegati a Sim Hyon Sop, un individuo sanzionato dall'Ufficio statunitense di controllo dei beni esteri (OFAC).
L'indagine di ZachXBT ha esaminato più in profondità i numerosi errori e i modelli insoliti commessi dagli autori malintenzionati. Si sono verificate sovrapposizioni IP tra sviluppatori presumibilmente con sede negli Stati Uniti e in Malesia e fughe accidentali di identità alternative durante le sessioni registrate.
In seguito all'incidente, ZackXBT ha contattato i progetti interessati e ha consigliato loro di rivedere i propri registri e di effettuare controlli più approfonditi. Ha anche notato diversi segnali di allarme che i team possono monitorare, come segnalazioni per ruoli da altri sviluppatori, incoerenze nella cronologia lavorativa e curriculum o profili GitHub altamente raffinati.
Crescita della criminalità informatica in Corea del Nord
Nel frattempo, i gruppi legati alla Corea del Nord sono da tempo associati alla criminalità informatica. Le loro tattiche spesso includono schemi di phishing, sfruttamento delle vulnerabilità del software, accesso non autorizzato al sistema, furto di chiavi private e persino infiltrazione di persona nelle organizzazioni.
Una delle sue organizzazioni più famigerate, Lazarus Group, avrebbe rubato oltre 3 miliardi di dollari in criptovalute dal 2017 al 2023.
Nel 2022, il governo degli Stati Uniti ha messo in guardia dal crescente numero di lavoratori nordcoreani che assumono ruoli tecnologici freelance, in particolare quelli nel settore delle criptovalute.
Il post Gli sviluppatori nordcoreani hanno utilizzato identità false per rubare dal progetto Crypto: ZachXBT è apparso per la prima volta su CryptoPotato .