以太坊支持的Ketman标志着朝鲜在加密招聘中广泛渗透

由以太坊基金会（Ethereum Foundation）支持的一项新调查，重新引起了人们对加密领域长期存在的安全问题的关注：朝鲜（北韩）特工假扮成合法的远程开发者。 在最近的一份以太坊基金会 ETH Rangers 回顾中，该组织表示，一名获得资助的受益者使用这笔津贴来构建并扩展 Ketman，这是一个威胁情报项目，重点在于揭露区块链项目中 DPRK（朝鲜）IT 工作者的存在。 回顾中提到，该团队联系了大约 53 个项目，并识别出约 100 名在 Web3 组织中运营的不同 DPRK IT 工作者。

这些发现是在加密评论员 Colin Wu 于 X（Twitter）上强调该报告之后浮出水面的。Wu 表示，该审查显示 Ketman 已发现约 100 名隶属北韩的黑客渗透了加密项目。Wu 的帖子还提到了一则报道：这些特工通常使用伪造的日本身份证明来获得远程 Web3 工作——这一细节与 Ketman 其自身关于自由职业平台渗透的报告中所描述的模式相吻合。

Ketman 的公开报告于 2025 年 4 月 16 日发布，描述了调查如何从一名合法开发者仓库中的可疑行为者开始，并扩展成与 onlyDust 自由职业生态系统相关的更大规模集群。研究人员写道，他们最初注意到账户历史被操控、垃圾信息活动、可疑的身份变更以及其他若干危险信号，随后将这些账户追踪到一个更广泛的贡献者网络；该网络中的成员在多个仓库中开展工作。在报告中，Ketman 表示，它发现了一些行为者在招聘流程中使用多个别名、虚假身份，甚至伪造文件。

Crypto Security Alert

Ketman 报告中最引人注目的说法之一是：一些被怀疑的行为者在自我介绍时声称自己是日本人，尽管研究人员最终得出结论，他们与 DPRK 关联的活动有关。报告称，其中一名对象使用了多个名字，并声称自己是日本人；同时，团队还提到了在其验证过程中使用过的一份伪造日本文件。Ketman 表示，这种身份“洗白”可以帮助可疑的贡献者建立可信度、收取款项，并在之后利用这种经历进入更敏感的角色。

以太坊基金会的回顾将这项工作定位为更广泛的安全行动的一部分，而非一次性的调查。与 Ketman 的发现并行，ETH Rangers 的总结表示，该整体计划已追回或冻结超过 $5.8 million，记录了 785 项以上漏洞，并在整个生态系统中识别出约 100 名由国家支持的特工。这样的背景有助于解释为什么基金会把这一类威胁视为 Web3 团队面临的严重运营问题，而不仅仅是一个小众的研究课题。

Ketman 还公开表示，团队应当更积极地核验远程工作人员的身份，包括通过视频通话，并对行为或身份主张中的不一致之处进行更严密的审查。在其报告中，该项目指出，仅凭 KYC 文件是不够的，并建议采取超越静态文书材料的验证步骤。该警示恰逢这样一年：美国当局持续将朝鲜 IT 工作者活动列为不断演变的威胁，其中包括数据勒索以及与远程就业诈骗相关的其他形式的侵害行为。

对于加密初创公司来说，这一要点令人不安，但结论非常明确。与北韩有关的渗透不再只是网络边缘的黑客问题；它同时也是招聘问题、承包商筛查问题，以及出现在依赖远程协作的团队内部的信任问题。Ketman 的发现表明，除非项目在授予开发者访问代码、资金或内部沟通权限之前进一步收紧审查方式，否则伪造的简历、打磨过的 GitHub 历史记录以及让人信服的面试形象仍可能蒙混过关。