Стипендиат Ethereum Foundation отыскал 100 северокорейских IT-агентов в Web3-компаниях

Проект Ketman, получивший стипендию в рамках программы ETH Rangers, за шесть месяцев идентифицировал сотню северокорейских IT-специалистов, работавших в криптокомпаниях под фиктивными личностями. The ETH Rangers Program has wrapped up and the results speak for themselves: $5.8M+ recovered, 785+ vulnerabilities reported, 100+ DPRK operatives identified, and so much more.A decentralized defence for a decentralized network.Read the full recap 👇— EF Ecosystem Support Program (@EF_ESP) April 16, 2026 Организация Ethereum Foundation опубликовала отчет по программе ETH Rangers — инициативе, запущенной в конце 2024 года для финансирования независимых исследователей, занимающихся безопасностью экосистемы.  Один из получателей стипендии направил средства на создание проекта Ketman, специализирующегося на поиске «фиктивных разработчиков» в криптоиндустрии. Исследователи сфокусировались на поддерживаемых КНДР операциях.  Северокорейские IT-специалисты годами устраиваются в Web3-компании под поддельными личностями, зарабатывают зарплату и одновременно обеспечивают разведку и потенциальный доступ к инфраструктуре проектов. За спиной наиболее громких операций стоит группировка Lazarus Group. За шесть месяцев работы команда Ketman задокументировала 100 операторов КНДР, активно действовавших внутри Web3-организаций, и уведомила 53 проекта о том, что те, вероятно, держат в штате действующих агентов. Согласно выложенным на сайте Ketman материалам, эксперты ориентировались на выявленные особенности «тактики, поведения и оперативные модели», присущие северокорейским IT-операторам, включая: повторное использование аватаров и метаданных профиля на нескольких аккаунтах GitHub под разными именами; случайное раскрытие несвязанных адресов электронной почты при совместном использовании экрана во время звонков; противоречащие заявленному гражданству установки системного языка по умолчанию —  русский или иной; специфические поведенческие паттерны в коммуникации и нетипичные часы работы для указанного часового пояса. Подробно методологию обнаружения агентов КНДР в проекте и Ethereum Foundation не раскрыли.  Помимо расследовательской работы, в Ketman разработали инструмент с открытым исходным кодом для автоматического обнаружения подозрительной активности на GitHub. Также совместно с некоммерческой организацией Security Alliance был создан отраслевой стандарт верификации — фреймворк для идентификации IT-работников КНДР при найме. «Эта работа напрямую устраняет одну из наиболее острых угроз операционной безопасности, с которыми сталкивается экосистема Ethereum сегодня», — говорится в отчете Ethereum Foundation по итогам ETH Rangers. В рамках инициативы суммарно фонд поддержал 17 стипендиатов. Их деятельность имела широкий диапазон: от исследования уязвимостей и инструментов безопасности до образования, анализа угроз и реагирования на инциденты. Напомним, 1 апреля DeFi-платформа Drift Protocol на базе Solana подверглась взлому на $280 млн. Согласно выводам команда проекта и экспертам по кибербезопасности, за атакой стоят хакеры из КНДР.