🕵️‍♂️ ВИЯВЛЕНА ЗАГРОЗА ВНУТРІШНЬОЇ НЕБЕЗПЕКИ: ПРОЕКТ, ФІНАНСОВАНИЙ ETHEREUM, ВИЯВЛИВ 100 ПІДРОЗДІЛІВ ПІХОНОВИХ КОРЕЙЦІВ У WEB3

Станом на 19 квітня 2026 року було виявлено масштабний злом у глобальній інфраструктурі блокчейну. За останніми даними з Проекту Кетман, ініціативи, фінансованої програмою Ethereum Foundation — ETH Rangers, — ідентифіковано приблизно 100 підозрюваних працівників ІТ з Північної Кореї (DPRK), які проникли у 53 різні криптопроєкти. Ці оперативники успішно обійшли стандартні процедури найму та KYC-перевірки, інтегрувавшись у ядро команд розробників різних організацій Web3. Це масове розкриття підкреслює складну стратегію “Атаки на ланцюг поставок”, коли зловмисники отримують внутрішній доступ до кодових баз, потенційно закладаючи основу для катастрофічних зломів.

Мистецтво фальшивого KYC: підроблені японські особистості

Розслідування виявило, наскільки далеко йдуть оперативники DPRK, щоб видавати себе за легітимних висококваліфікованих розробників.

• Фальшиві особистості: Оперативники часто видавали себе за японських фрілансерів-розробників на платформах, таких як OnlyDust. Використовуючи профілі з штучним інтелектом фотографії та імена, наприклад, “Хірото Івакі” та “Мотокі Масуо”, вони створювали професійний образ, який вводив в оману кілька комітетів з найму.
• Підроблені документи: Щоб пройти перевірку, працівники подавали високоякісні підроблені японські документи. У одному моторошному випадку обман був виявлений лише під час прямого відеодзвінка, коли підозрюваний, який не міг говорити японською, раптово залишив інтерв’ю після запиту представитися.
• Глибокий доступ до коду: Дослідники простежили три окремі групи акторів у 11 різних репозиторіях. Загалом, було злиття 62 запитів на злиття у різні проєкти, перш ніж оперативників було виявлено та видалено, що викликає серйозні занепокоєння щодо цілісності коду, який зараз працює на цих мережах.

Щит Кетман: боротьба з відкритим кодом

У відповідь на цю поширену загрозу команда, фінансована Ethereum, розробила новий набір інструментів для захисту галузі.

• gh-fake-analyzer: Проект Кетман випустив інструмент аналізу профілів на GitHub з відкритим кодом, тепер доступний на PyPI. Цей інструмент призначений для виявлення підозрілих шаблонів у історії розробника, таких як підроблені графіки внесків або невідповідність регіональних метаданих.
• Рамкова структура працівників DPRK: У співпраці з Security Alliance (SEAL) проект спільно створив стандартизовану галузеву рамкову структуру для виявлення та повідомлення про проникнення з Північної Кореї. Вона вже стала орієнтиром для HR та команд безпеки у секторі Web3.
• Вплив ETH Rangers: Більш широка програма ETH Rangers, яка включає групи, такі як Secureum і The Red Guild, повідомила про значний успіх у своєму останньому звіті: понад $5,8 мільйонів зібраних коштів, 785 вразливостей повідомлено, і 36 критичних інцидентів оброблено.

Мостик для мільярдів: стратегічна мета

Дослідники безпеки попереджають, що таке проникнення рідко є кінцевою метою, а швидше — попередньою фазою для державного викрадення.

• Ризики ланцюга поставок: Отримавши статус “Учасника” або “Адміністратора”, працівники DPRK можуть вводити тонкі вразливості у смарт-контракти. Ці “задні двері” можуть бути використані через місяці або навіть роки спеціалізованими хакерськими групами для висмоктування протоколів.
• Обхід санкцій: Ці працівники зазвичай переказують свої високі зарплати назад режиму Північної Кореї у криптовалюті, забезпечуючи критичний потік доходів, що обходить міжнародні банківські санкції.
• Багатомільярдний ризик: Групи хакерів з Північної Кореї за останні п’ять років викрали мільярди цифрових активів. Це останнє відкриття підтверджує, що їх тактика змістилася з зовнішніх “Грубої сили” атак на внутрішню, таємну проникнення.

Важливий фінансовий дисклеймер

Цей аналіз є виключно для інформаційних та освітніх цілей і не є фінансовою, інвестиційною або юридичною порадою. Звіти Проекту Кетман, що ідентифікували 100 працівників ІТ з Північної Кореї у 53 криптопроєктах, базуються на підсумках програми ETH Rangers, опублікованих станом на 19 квітня 2026 року. Проникнення державних акторів становить надзвичайний ризик для безпеки проєктів і інвесторських коштів. Ефективність інструментів виявлення з відкритим кодом, таких як gh-fake-analyzer, не гарантується. Завжди проводьте власне всебічне дослідження (DYOR) та консультуйтеся з ліцензованим фахівцем з кібербезпеки.

Чи ви проводите аудит розробників у своїх портфоліо, чи довіряєте значкам “Перевірено” на фріланс-платформах?