Проект Ketman, получивший стипендию в рамках программы ETH Rangers, за шесть месяцев идентифицировал сотню северокорейских IT-специалистов, работавших в криптокомпаниях под фиктивными личностями.
The ETH Rangers Program has wrapped up and the results speak for themselves: $5.8M+ recovered, 785+ vulnerabilities reported, 100+ DPRK operatives identified, and so much more.A decentralized defence for a decentralized network.Read the full recap 👇— EF Ecosystem Support Program (@EF_ESP) April 16, 2026
Организация Ethereum Foundation опубликовала отчет по программе ETH Rangers — инициативе, запущенной в конце 2024 года для финансирования независимых исследователей, занимающихся безопасностью экосистемы.
Один из получателей стипендии направил средства на создание проекта Ketman, специализирующегося на поиске «фиктивных разработчиков» в криптоиндустрии. Исследователи сфокусировались на поддерживаемых КНДР операциях.
Северокорейские IT-специалисты годами устраиваются в Web3-компании под поддельными личностями, зарабатывают зарплату и одновременно обеспечивают разведку и потенциальный доступ к инфраструктуре проектов. За спиной наиболее громких операций стоит группировка Lazarus Group.
За шесть месяцев работы команда Ketman задокументировала 100 операторов КНДР, активно действовавших внутри Web3-организаций, и уведомила 53 проекта о том, что те, вероятно, держат в штате действующих агентов.
Согласно выложенным на сайте Ketman материалам, эксперты ориентировались на выявленные особенности «тактики, поведения и оперативные модели», присущие северокорейским IT-операторам, включая:
повторное использование аватаров и метаданных профиля на нескольких аккаунтах GitHub под разными именами;
случайное раскрытие несвязанных адресов электронной почты при совместном использовании экрана во время звонков;
противоречащие заявленному гражданству установки системного языка по умолчанию — русский или иной;
специфические поведенческие паттерны в коммуникации и нетипичные часы работы для указанного часового пояса.
Подробно методологию обнаружения агентов КНДР в проекте и Ethereum Foundation не раскрыли.
Помимо расследовательской работы, в Ketman разработали инструмент с открытым исходным кодом для автоматического обнаружения подозрительной активности на GitHub. Также совместно с некоммерческой организацией Security Alliance был создан отраслевой стандарт верификации — фреймворк для идентификации IT-работников КНДР при найме.
«Эта работа напрямую устраняет одну из наиболее острых угроз операционной безопасности, с которыми сталкивается экосистема Ethereum сегодня», — говорится в отчете Ethereum Foundation по итогам ETH Rangers.
В рамках инициативы суммарно фонд поддержал 17 стипендиатов. Их деятельность имела широкий диапазон: от исследования уязвимостей и инструментов безопасности до образования, анализа угроз и реагирования на инциденты.
Напомним, 1 апреля DeFi-платформа Drift Protocol на базе Solana подверглась взлому на $280 млн. Согласно выводам команда проекта и экспертам по кибербезопасности, за атакой стоят хакеры из КНДР.
