開発者を装った北朝鮮のハッカーをどのように識別するか？

撰文：深潮 TechFlow

3月27日、Blastに悪い知らせが届きました。Web3ゲームプラットフォームMunchablesが1.7万ETH以上を盗まれ、価値は6250万ドルに達しました。

オンチェーン探偵ZachXBTは、Munchablesが盗まれたのは、開発者に偽装した北朝鮮のハッカーによるものかもしれないと述べ、慢雾の創設者余弦も「これは私たちが遭遇したDeFiプロジェクトにおける少なくとも2回目のこのような状況です。コア開発者が長い間潜伏し、チーム全体の信頼を得て、タイミングが来ると容赦なく攻撃しました」と述べました。

あなたが暗号プロジェクトの創設者で、リモート開発者の求職者を面接する際、北朝鮮のハッカーに出会うことは珍しいことではないかもしれません。

Monadの創設者Keoneは、2022年にXで、彼らが多くのSolidity開発者の求人情報を公開し、多くの履歴書を受け取ったが、その中のかなりの数が北朝鮮の人々であると考え、いくつかの共通の特徴をまとめました：

• 彼らはSuperTalentedDev726やCryptoKnight415のようなGithubユーザーを好むようです；
• 彼らは電子メールやGithubのユーザー名に数字を使用することを好むようで、これは彼らの申請を追跡する方法かもしれません；
• 彼らは日本の身分を選ぶ傾向があり（おそらく韓国人は明らかすぎるため）、日本、香港、シンガポールのトップスクール（シンガポール国立大学、南洋理工大学、香港大学、香港科技大学）に通っていたとよく言います；
• GitHubでは、しばしば（必ずしもではありませんが）コードリポジトリを盗み、既存のプロジェクトを持ち去り、彼らのユーザー名を使用してコミットメッセージを再生成します；
• 彼らはしばしば異なる電子メールアドレスを使用してこの仕事に何度も応募する傾向があります；
• Solidity/EVMの経験が非常に早い（例えば2015年）。

最新の動向によると、GithubユーザーWerewolves0493はMunchables攻撃の背後にいる北朝鮮のハッカーであり、彼のGithubの電子メールアドレスはseniordev1225@gmail.comで、Monadの創設者Keoneの説明にかなり一致しています。

2022年、プライバシープロトコルaztecnetworkのスタッフJonwuも面接中に北朝鮮のハッカーに遭遇し、オンライン面接時の状況を次のように説明しました：

まず、私たちaztecnetworkは採用中で、@Greenhouseで「Bobby Sierra - Solidity Engineer」の応募を受け取りました。

内部審査の後、システムは私にオンライン面接を割り当てました。

履歴書をざっとスキャンしました。

名前：Bobby Sierra

応募職種：Solidityエンジニア

場所：オンタリオ

言語：英語と少しの中国語

経験：F2pool、履歴書にはいくつかのDAOやNFTプロジェクトがあります。

この点を覚えておいてください、後で関係があります。

次に、カバーレターを見ました。その冒頭は「私は6年以上の豊富な経験を持つブロックチェーン開発者です。」というものでした。

その後は一連の曖昧な情報が続き、一般的な自己誇示に属するものでしたが、理解できました。すべての人がカバーレターを書くのが得意なわけではありません。

最後に、彼はカバーレターに「世界は私の手の中で偉大な成果を見るでしょう。」と書いていました。

…

私はすぐに思いました。このクソ野郎はボンドの悪役のように聞こえます。

私は、彼の腕が実際にはレーザー砲で、彼の目がプルトニウムや他の何かでできている男を想像しました。

「世界は私の手の中で偉大な成果を見るでしょう」？？？

普通の人がそんなことを言うか？

これは不安を感じさせ、私はすぐに彼のGithubを見ました。過去12ヶ月で12回のコミット？それは「豊富な経験」ではありません。

さらに、参加したプロジェクトはランダムに見えました：

BoredBunnies

PantherSwap

MetaverseDAO

まあ、私は自分に言い聞かせました。Cryptoは奇妙で面白い空間で、そこには奇妙で面白い人々がたくさんいます！見て、もしかしたらBobbyはただの変わり者かもしれません。

それから、面接を始めました！

こんにちは、AztecのJonですが、Bobbyですか？

「はい。これは…Bobby Sierraです。」

私はいくつかの点に気づきました：

彼のカメラはオフになっている；

5人以上がバックグラウンドで大声で話している；

明らかな韓国のアクセント；

私は彼に声が大きい理由を尋ねました。

「おお、私はオフィスにいます。」

WTF、でもなぜ他に5人が韓国語と英語の混合語で話しているのですか？

あなたは、私が彼が韓国人であることをどうやって知っているのかと尋ねるかもしれません。

へへ、私の良い友人の中には韓国人がいるので、韓国のアクセントには非常に慣れていますが、これは普通の韓国系アメリカ人や韓国系カナダ人のアクセントではありません。

「Bobby」はもちろん英語を話しますが、普通の英語ではありません：堅苦しく、正式で、ほとんど理解できません。

だから、「Bobby、自己紹介をしてみてください。」

「私は多くのブロックチェーン開発、トークン発行に関与しており、多くの成功したプロジェクトがあり、非常に成功しています。多くのブロックチェーン経験があり、非常に良い結果を出しています。Okay？」

簡単に分析してみましょう：

1）最初の部分はクソのような無意味なことです。これだけで彼の面接資格を取り消したいです。

2）「Okay」

「Okay」という表現は、この男が韓国人であることを確信させました。どうしてわかるのか？

私の友人の母親は、彼らが私に熱々のスペアリブスープを一杯くれる前に、こういうクソを言います。

「これはとても美味しいから、冷める前に食べてね、Okay？」

今、警鐘が鳴りました。最近頻繁に発生している北朝鮮のハッカー攻撃事件を知っています。

私はさらに掘り下げることに決めました。

Bobby、あなたはどこに拠点を置いていますか？

Bobby：「拠点？」

つまり、あなたは今どこにいますか？

「おお、香港です。」

「香港？あなたは最後にどこで働いていましたか？」

「おお、Atekeです。」

それは何ですか？

「ドイツの会社か、フランスの会社です。わかりません。」

あなたの履歴書にはF2poolで働いていたと書いてありますが、F2poolについて教えてもらえますか？

「うーん、うーん、少し待ってもいいですか？」

それから彼は私をミュートにして5分間待たせました。

Bobbyが戻ってきたとき、まるで新人に変わったようでした。

「こんにちは、あなたはいますか？」

はい、Bobby、私はいます。

「私は経験豊富なブロックチェーン開発者で、新しい仕事を探しています。私は非常に経験があり、貴社に価値をもたらすことができます。今、エンジニアの仕事が欲しいです。Okay？」

真偽はともかく、私は電話を切りました。

私たちは、Lazarus Groupのような北朝鮮のハッカーが主要なプロトコルや個人を攻撃していることを知っています。

Roninは6億ドルを盗まれ、Arthur0x、Mgnr、そして無数の他の有名なアカウントが攻撃されました。

私は攻撃の手段が何であるかはわかりません。

• 破損した.docx履歴書をダウンロードしますか？
• 誰かに画面を共有させてMetamaskにナビゲートさせますか？
• 私たちのコードリポジトリへのアクセスを得て、悪意のある変更をプッシュしますか？

私はそれをインターネットに推測させます。

実際、私はこれらの人々が北朝鮮のハッカーであるかどうかはわかりません。Bobbyはただ非常に無能な男かもしれませんが、私のすべての繊維がそれが事実ではないと言っています。

恐怖と娯楽を除いて、私はこの奇妙なインタラクションから多くのことを学びました。

1）私たちの世界全体は信頼に基づいています。誰かが私たちに彼らの履歴書とGithubを見せると、私たちはそれを信じます。

• スマートコントラクトのリスクは過大評価されており、何でも攻撃の手段になり得ます：採用、イベント、旅行など。
• 添付ファイルを安易にダウンロードせず、あなたのウォレットを自分のマシンに隔離するなど。

その後、「Bobby」は彼のGithubを更新し、全く新しいアカウントを指し、今ではより多くのコードのコミットがあります。

私はこれらの人々が学び、適応し、賢くなっていると信じています。

幸いなことに、彼らはどれほどクソのように乖離していて無能であるかを解決できません。

私たちはただ賢くあり続ける必要があります。