Google Threat Intelligence Group (GTIG) ha recentemente pubblicato un rapporto indicando che i dipendenti IT legati alla Corea del Nord stanno infiltrando progetti crypto nel Regno Unito, in Germania, in Portogallo e in Serbia. Questi individui hanno falsificato identità per operare come sviluppatori remoti, lavorando anche su progetti blockchain significativi come Solana e Anchor/Rust.
Dettagli sulla minaccia
GTIG ha rilevato progetti compromessi che includono marketplace blockchain, applicazioni web AI e sviluppo di smart contract su $SOL . In particolare, sono coinvolti nel progetto Nodexa - una piattaforma di hosting token che utilizza Next.js e CosmosSDK.
I dipendenti nordcoreani utilizzano fino a 12 identità false, presentando diplomi falsi dell'Università di Belgrado, documenti di residenza falsi dalla Slovacchia e istruzioni per eludere il sistema di reclutamento europeo.
Modalità di transazione e fonti di finanziamento
Il rapporto indica inoltre che i dipendenti nordcoreani sono supportati da partner nel Regno Unito e negli Stati Uniti, grazie a TransferWise, Payoneer e transazioni crypto per eludere il tracciamento dei flussi di denaro. #TransferWise ha dichiarato che il loro sistema è monitorato attentamente, ma non può prevenire completamente lo sfruttamento da parte di soggetti illegali.
Obiettivi e conseguenze
Gli esperti affermano che i ricavi di questo gruppo di lavoro IT vengono trasferiti in Corea del Nord, contribuendo a finanziare programmi di armi sanzionati secondo le sanzioni internazionali.
Inoltre, molte aziende sono state ricattate da hacker nordcoreani, a causa della preoccupazione che dati sensibili o codice sorgente possano essere divulgati. A partire da ottobre 2024, #GTIG ha osservato un aumento significativo di queste attività di estorsione.
Espansione della modalità d'attacco
In passato, il gruppo Lazarus della Corea del Nord ha effettuato numerosi attacchi contro il settore crypto. Tuttavia, GTIG segnala che il governo nordcoreano sta intensificando le operazioni attraverso vari gruppi come TraderTraitor e AppleJeus. Nel mese di febbraio 2024, hacker legati a Lazarus hanno rubato 1,4 miliardi di dollari dalla piattaforma Bybit, per poi riciclare il denaro attraverso DEX e coin mixer.
Conclusione
GTIG avverte che con la tendenza al lavoro da remoto e al BYOD (portare dispositivi personali in azienda), molte startup blockchain non dispongono ancora di strumenti di monitoraggio efficaci. Questo favorisce gli hacker nordcoreani nell'approfittare e continuare le loro attività a livello globale.
