Виявлено 100 північнокорейських агентів в крипто компаніях

Головне за хвилину:

• Проект Ketman виявив близько 100 північнокорейських ІТ-спеціалістів, що проникли в компанії Web3.
• Ці агенти використовують підроблені особистості та проходять повноцінні співбесіди у криптокомпаніях.
• За 6 місяців розслідування команда ETH Rangers попередила 53 Web3-проекти про ризики.
• КНДР вкрала 👉 криптовалюти на $2,02 мільярди тільки у 2025 році — зростання на 51%.

Команда 👉 Octobit розібралась у тому, як змінилась стратегія хакерів з Північної Кореї та чому це загрожує всій екосистемі.

Нова стратегія північнокорейських хакерів

Північнокорейські агенти змінили тактику. Раніше хакери з КНДР покладалися на віддалені експлойти та зломи 👉 бірж. Тепер вони проникають безпосередньо всередину криптокомпаній. Жахає? Ще б пак.

Ці оперативники проходять справжні співбесіди, отримують доступ до внутрішніх репозиторіїв та місяцями працюють у командах розробки продуктів. Ми спостерігаємо системну вразливість через глобальний віддалений найм з мінімальною перевіркою KYC.

Масштаб проблеми:

• Виявлено близько 100 IT-спеціалістів з КНДР, інтегрованих у компанії Web3
• Загальні крадіжки КНДР у 2025 році — $2,02 мільярда
• Накопичені збитки від північнокорейських хакерів — $6,75 мільярда

Один із кричущих прикладів — криптобіржа Stabble, яка виявила північнокорейського агента у власній керівній команді. Хак Drift Protocol 1 квітня 2026 року на суму $285 мільйонів — також результат діяльності цих агентів.

Як працював проект Ketman і програма ETH Rangers

ETH Rangers запустили наприкінці 2024 року. Спільний проект Ethereum Foundation, Secureum, The Red Guild та Security Alliance (SEAL) залучив 17 незалежних дослідників безпеки. Їхній мандат — зміцнення 👉 захисту екосистеми Ethereum.

Проект Ketman став однією з найуспішніших ініціатив. Згідно з дослідженням WEEX, він вийшов далеко за рамки стандартного аудиту чи баунті-програми.

Як вони знаходять північнокорейських агентів?

1. Аналіз неузгодженої робочої історії у резюме
2. Виявлення комунікаційних патернів, що приховують справжній часовий пояс
3. Відстеження маршрутизації платежів через специфічні проміжні ланки
4. Ідентифікація технічних “відбитків пальців”, які повторюються у різних кандидатів

Фактично це розвідувальна робота, а не просто дослідження безпеки. Потрібен постійний моніторинг дошок вакансій, активності на GitHub, процесів найму та поведінкових сигналів всередині існуючих команд.

🧠 Думка команди Octobit

Ми вважаємо, що ця ситуація — переломний момент для криптогалузі. Найнебезпечніший ворог — не той, хто атакує ззовні, а той, хто сидить поруч із вами на стендапах. Північна Корея створила прецедент, який змусить компанії переоцінити всю систему найму. Скоро побачимо суворіші KYC-процедури навіть для розробників, що може сповільнити інновації.

Методи виявлення агентів КНДР

Як Ketman виявляє підроблені особи? Через комплексний аналіз цифрових слідів. Аналітики згідно з дослідженням Phemex розробили унікальний інструментарій.

Ключові методи виявлення:

• Повторне використання аватарів і метаданих на декількох GitHub-акаунтах
• Несумісні email-адреси та мови інтерфейсу, що суперечать заявленій національності
• Аномальні патерни доступу до репозиторіїв
• Координовані дії між нібито не пов’язаними акаунтами

Головний продукт — відкритий інструмент виявлення підозрілих акаунтів на GitHub. Саме ця технологія дозволила ідентифікувати розробників з КНДР, які діяли під прикриттям. Вже 53 Web3-компанії отримали попередження.

Варто розуміти: ці 100 осіб не обов’язково активно запускають експлойти в реальному часі. Їхня присутність має множинні функції: генерація доходу для режиму через легітимні зарплати, збір розвідданих про протоколи та кодові бази, а також підготовка для майбутніх атак.