In der dynamischen Welt der Kryptowährungen gibt es immer wieder Entwicklungen, die sowohl für Sicherheitsexperten als auch für die breite Öffentlichkeit von großer Bedeutung sind. Ein kürzlich veröffentlichtes Projekt, das von der Ethereum Foundation gefördert wird, hat etwa 100 mutmaßliche nordkoreanische IT-Arbeiter in 53 Krypto-Projekten aufgedeckt. Dieses Ketman-Projekt, das am 16. April seinen Rückblick im Rahmen des ETH Rangers Program bekannt gab, hat in den letzten sechs Monaten intensiv daran gearbeitet, nordkoreanische Agenten aus Web3-Organisationen zu entfernen.
Die Untersuchung hat ergeben, dass die nordkoreanischen Akteure sich als japanische Entwickler auf der Plattform OnlyDust ausgegeben haben. Dabei kamen KI-generierte Profilbilder und erfundene Namen wie „Hiroto Iwaki“ und „Motoki Masuo“ zum Einsatz. Um ihre Identität zu verifizieren, reichten sie gefälschte japanische Dokumente ein. Der Betrug wurde schließlich während eines Videoanrufs aufgedeckt, als der Verdächtige flüchtete, als er aufgefordert wurde, sich auf Japanisch vorzustellen. In der Folge konnten mindestens drei Cluster dieser Akteure in elf Repositorien nachverfolgt werden, die 62 Pull Requests integriert hatten, bevor der Betrug entdeckt wurde.
Die Rolle von KI und Open-Source-Tools
Im Rahmen der Untersuchung wurde auch das Open-Source-Tool gh-fake-analyzer entwickelt, das nun auf PyPI verfügbar ist. Dieses Tool dient zur Analyse von GitHub-Profilen und könnte in Zukunft dabei helfen, ähnliche Betrugsversuche frühzeitig zu erkennen. Darüber hinaus wurde das DPRK IT Workers Framework in Zusammenarbeit mit der Security Alliance (SEAL) erstellt, das mittlerweile als Standardreferenz in der Branche gilt.
Das ETH Rangers Program, das Ende 2024 in Zusammenarbeit mit Secureum, The Red Guild und SEAL ins Leben gerufen wurde, hat insgesamt 17 Stipendiaten gefördert. Die zentralen Ergebnisse dieser Initiative sind beeindruckend: Über 5,8 Millionen USD an wiederhergestellten Geldern, 785 gemeldete Schwachstellen und 36 bearbeitete Zwischenfälle. Sicherheitsexperten warnen jedoch, dass das Einschleusen von IT-Arbeitern häufig als Vorbereitung für größere Angriffe auf Lieferketten dient.
Nordkoreas strategische Angriffe auf die Krypto-Industrie
Nordkorea hat nicht nur in diesem Fall seine Finger im Spiel. Laut Berichten hat das Land in den letzten Jahren eine umfassende Infiltrationskampagne in der Kryptoindustrie durchgeführt, die die Branche erschüttert hat. Krypto bietet dem nordkoreanischen Regime eine wichtige Einnahmequelle, insbesondere angesichts der internationalen Sanktionen, die es unter Druck setzen. Diese Sanktionen machen es notwendig, dass das Land auf harte Währung zugreift, um seine Waffenprogramme zu finanzieren.
Der Krypto-Diebstahl wird zunehmend als Hauptfinanzierungsmechanismus für nordkoreanische nukleare und ballistische Raketentechnologien anerkannt. Während andere Staaten, wie Russland und Iran, Kryptowährungen nutzen, um Sanktionen zu umgehen, sieht sich Nordkorea mit einem Mangel an Exportmöglichkeiten konfrontiert. Hier wird Krypto-Diebstahl zur direkten Einnahmequelle, die sofortigen Zugang zu liquiden Werten ermöglicht.
Die Ziele nordkoreanischer Hacker sind oft Krypto-Börsen, Wallet-Anbieter und DeFi-Protokolle. Diese Angriffe verfolgen Taktiken, die eher einem geheimdienstlichen Vorgehen entsprechen, als klassischen kriminellen Hackern. Durch Beziehungsaufbau und Infiltration versuchen sie, sich unbemerkt Zugang zu sensiblen Infrastrukturen zu verschaffen. Die Drift-Kampagne ist ein prägnantes Beispiel für solche Taktiken und zeigt, wie wichtig es ist, Sicherheitslücken in der Krypto-Welt zu schließen.
Insgesamt wird deutlich, dass die Krypto-Industrie nicht nur ein aufregendes Feld für Innovation und Wachstum ist, sondern auch ein Hotspot für sicherheitstechnische Herausforderungen. Die Entwicklungen rund um das Ketman-Projekt und die anhaltenden Bedrohungen durch nordkoreanische Angreifer machen deutlich, dass Wachsamkeit und proaktive Sicherheitsmaßnahmen unerlässlich sind.