Проект Ketman при поддержке Ethereum Foundation выявил 100 северокорейских агентов в криптокомпаниях
Исследовательская группа Ketman, финансируемая через программу ETH Rangers, за полгода обнаружила сотню IT-специалистов из КНДР, внедрённых в Web3-организации под вымышленными именами.
Исследовательский проект Ketman, получивший финансирование в рамках стипендиальной программы ETH Rangers от Ethereum Foundation, за шесть месяцев работы выявил более 100 северокорейских IT-специалистов, тайно работавших в криптоиндустрии под поддельными личностями. Результаты расследования опубликованы в итоговом отчёте фонда.
Программа ETH Rangers и масштаб результатов
Ethereum Foundation представила итоги программы ETH Rangers — инициативы, стартовавшей в конце 2024 года с целью финансовой поддержки независимых специалистов по безопасности экосистемы. Всего в рамках программы гранты получили 17 стипендиатов, чья деятельность охватывала широкий спектр задач: от выявления уязвимостей и разработки защитных инструментов до анализа угроз и реагирования на инциденты.
«The ETH Rangers Program has wrapped up and the results speak for themselves: $5.8M+ recovered, 785+ vulnerabilities reported, 100+ DPRK operatives identified, and so much more. A decentralized defence for a decentralized network.» — EF Ecosystem Support Program (@EF_ESP), оригинальный пост
Совокупные результаты программы впечатляют: более $5,8 млн возвращённых средств, свыше 785 зафиксированных уязвимостей и более 100 идентифицированных оперативников из КНДР.
Как Ketman вычислял агентов Пхеньяна
Один из стипендиатов направил полученное финансирование на создание проекта Ketman, специализирующегося на выявлении «фиктивных разработчиков» в криптоиндустрии. Основной фокус команды — операции, координируемые Северной Кореей. IT-специалисты из КНДР на протяжении нескольких лет устраиваются в Web3-компании по подложным документам, получают зарплату, а параллельно обеспечивают разведывательную деятельность и потенциальный доступ к инфраструктуре проектов. За наиболее масштабными операциями такого рода стоит группировка Lazarus Group.
За полгода команда Ketman задокументировала 100 оперативников КНДР, действовавших внутри Web3-организаций, и предупредила 53 проекта о вероятном присутствии агентов в их штате.
Согласно материалам, опубликованным на сайте Ketman, исследователи опирались на характерные «тактики, поведение и оперативные модели» северокорейских IT-работников. Среди выявленных признаков:
- Использование одних и тех же аватаров и метаданных профиля на нескольких GitHub-аккаунтах, зарегистрированных под разными именами;
- Случайное раскрытие посторонних email-адресов при демонстрации экрана во время видеозвонков;
- Настройки системного языка (русский или другой), не соответствующие заявленному гражданству;
- Нетипичные паттерны общения и рабочие часы, не совпадающие с указанным часовым поясом.
Полную методологию обнаружения агентов ни Ketman, ни Ethereum Foundation публично не раскрыли.
Почему это важно
Внедрение северокорейских оперативников в криптокомпании — одна из наиболее серьёзных угроз операционной безопасности для всей блокчейн-индустрии. В отчёте Ethereum Foundation по программе ETH Rangers прямо указано, что эта работа «напрямую устраняет одну из наиболее острых угроз операционной безопасности, с которыми сталкивается экосистема Ethereum сегодня».
Масштаб проблемы подтверждается недавними событиями: 1 апреля DeFi-платформа Drift Protocol на базе Solana подверглась взлому на $280 млн, и, по заключению команды проекта и экспертов по кибербезопасности, за атакой стояли хакеры из КНДР.
Инструменты для борьбы с угрозой
Помимо непосредственного расследования, команда Ketman создала инструмент с открытым исходным кодом для автоматического обнаружения подозрительной активности на GitHub. Кроме того, совместно с некоммерческой организацией Security Alliance был разработан отраслевой фреймворк верификации — стандарт идентификации IT-работников из КНДР на этапе найма.
Эти инструменты призваны дать Web3-компаниям практические средства защиты от инфильтрации — проблемы, которая до недавнего времени решалась преимущественно вручную и бессистемно.
Часто задаваемые вопросы
Что такое проект Ketman и чем он занимается?
Ketman — исследовательский проект, получивший финансирование от Ethereum Foundation через программу ETH Rangers. Он специализируется на выявлении северокорейских IT-специалистов, тайно работающих в криптокомпаниях под вымышленными именами. За шесть месяцев проект идентифицировал более 100 таких оперативников.
Как северокорейские агенты устраиваются в криптокомпании?
IT-специалисты из КНДР используют поддельные личности для трудоустройства в Web3-организации. Они применяют фиктивные аватары, множественные GitHub-аккаунты под разными именами и маскируют своё реальное местоположение. Параллельно с легальной работой они ведут разведывательную деятельность и получают доступ к инфраструктуре проектов.
Какие результаты показала программа ETH Rangers?
Программа ETH Rangers поддержала 17 стипендиатов и принесла масштабные результаты: возвращено более $5,8 млн, зафиксировано свыше 785 уязвимостей и выявлено более 100 оперативников КНДР. Деятельность участников охватывала исследование уязвимостей, разработку инструментов безопасности, анализ угроз и реагирование на инциденты.
По каким признакам вычисляют северокорейских IT-работников?
Среди ключевых индикаторов — повторное использование аватаров и метаданных на разных GitHub-аккаунтах, настройки системного языка, не соответствующие заявленному гражданству, и нетипичные часы работы. Также фиксировались случаи непреднамеренного раскрытия посторонних email-адресов во время демонстрации экрана.
Какие инструменты создал Ketman для защиты от агентов КНДР?
Команда Ketman разработала open-source инструмент для автоматического обнаружения подозрительной активности на GitHub. Совместно с организацией Security Alliance также был создан отраслевой фреймворк верификации — стандарт для идентификации IT-работников из КНДР на этапе найма.
Читайте также
Из Aave вывели более $8,6 млрд после взлома Kelp DAO: TVL DeFi-сектора упал на $13,6 млрд
Массовый отток средств из Aave обрушил TVL протокола с $26,3 млрд до $17,7 млрд. Причиной стала атака на кроссчейн-мост Kelp DAO, в результате которой хакеры похитили rsETH на $293 млн и использовали их как залог для займов.
ИИ-система Octane Security нашла критическую уязвимость в Ethereum-клиенте Nethermind
ИИ-система Octane Security обнаружила критическую уязвимость в Ethereum-клиенте Nethermind, способную остановить блокпроизводство у 38% валидаторов. Ethereum Foundation выплатил максимальную награду — $50 000.
Фейковое приложение Ledger Live в App Store позволило украсть $9,5 млн в криптовалюте
Поддельный кошелёк Ledger Live, размещённый в App Store, использовался для хищения криптоактивов на сумму свыше $9,5 млн. Пострадали более 50 пользователей в нескольких блокчейн-сетях.
Апрель 2026 стал рекордным месяцем по количеству криптовзломов
За апрель 2026 года произошло более 20 взломов криптопроектов с совокупным ущербом около $651 млн. Крупнейшими жертвами стали Kelp и Drift Protocol.
Атаки на видеопамять Nvidia, $21 млрд убытков от киберпреступлений и защита Chrome на уровне чипа: дайджест кибербезопасности
ФБР зафиксировало рекордные потери от киберпреступлений в $21 млрд за 2025 год, Google внедрила аппаратную привязку сессий в Chrome, а исследователи продемонстрировали три новых способа атаки на видеопамять Nvidia.
Drift Protocol на Solana взломан: хакер похитил $280 млн через атаку с durable nonces
DeFi-протокол Drift на Solana потерял не менее $280 млн в результате сложной хакерской атаки 1 апреля. Токен DRIFT обвалился на 37%, а участники рынка критикуют Circle за бездействие.