개발자 취업을 가장한 북한 해커를 어떻게 식별할 수 있을까?

撰文：심조 TechFlow

3월 27일, Blast에서 안타까운 소식이 전해졌습니다. Web3 게임 플랫폼 Munchables가 1.7만 개 이상의 ETH를 도난당했으며, 그 가치는 6250만 달러에 달합니다.

체인 상의 탐정 ZachXBT는 Munchables가 개발자로 위장한 북한 해커에 의해 도난당했을 가능성이 있다고 밝혔으며, 느슨한 창립자 유선도 "이것은 우리가 겪은 최소 두 번째 DeFi 프로젝트에서 발생한 상황입니다. 핵심 개발자가 오랫동안 위장하여 전체 팀의 신뢰를 얻고, 기회가 오자마자 가차 없이 공격했습니다."라고 말했습니다.

당신이 암호화 프로젝트의 창립자라면, 원격 개발자 지원자를 면접할 때 북한 해커를 만나는 것은 그리 낯선 일이 아닐 수 있습니다.

Monad 창립자 Keone은 2022년 X에서 그들이 많은 Solidity 개발자 채용 공고를 게시했으며, 많은 이력서를 받았다고 밝혔습니다… 그러나 그들은 그 중 상당수가 북한인이라고 생각하며 몇 가지 공통된 특징을 정리했습니다:

• 그들은 SuperTalentedDev726 또는 CryptoKnight415와 같은 GitHub 사용자를 더 선호하는 것 같습니다;
• 그들은 이메일과 GitHub 사용자 이름에 숫자를 사용하는 것을 좋아하는 것 같으며, 이는 그들의 신원을 추적하는 방법일 수 있습니다;
• 그들은 일본 신원을 선택하는 경향이 있으며(아마도 한국인은 너무 눈에 띄기 때문일 것입니다), 종종 일본, 홍콩 또는 싱가포르의 명문 학교(싱가포르 국립대학교, 난양기술대학교, 홍콩대학교, 홍콩과기대학교)에서 공부했다고 주장합니다;
• GitHub에서 자주(항상은 아니지만) 코드 저장소를 도용하며, 기존 프로젝트를 가져와서 자신의 사용자 이름을 사용하여 커밋 메시지를 재생성합니다;
• 그들은 종종 여러 이메일 주소를 사용하여 여러 번 이 직업에 지원하는 경향이 있으며, 이 이메일 주소들은 서로 다릅니다;
• Solidity/EVM 경험이 너무 이른 시점(예: 2015년)에서 시작됩니다.

최신 동향에 따르면, GitHub 사용자 Werewolves0493는 Munchables 공격 뒤에 있는 북한 해커로 알려져 있으며, 그의 GitHub 이메일 주소는 seniordev1225@gmail.com으로 Monad 창립자 Keone의 설명과 여러 면에서 일치합니다.

2022년, 프라이버시 프로토콜 aztecnetwork의 직원 Jonwu는 면접 과정에서 북한 해커를 만났으며, 온라인 면접 중의 상황을 다음과 같이 설명했습니다:

우리는 aztecnetwork에서 채용 중이며, @Greenhouse에서 "Bobby Sierra - Solidity Engineer"의 지원서를 받았습니다.

내부 검토 후, 시스템은 나에게 온라인 면접을 배정했습니다.

대략적인 이력서를 스캔했습니다.

이름：Bobby Sierra

지원：Solidity 엔지니어

위치：온타리오

언어：영어와 약간의 중국어

경험：F2pool, 이력서에 몇 가지 DAO 및 NFT 프로젝트가 있습니다.

이 점을 기억하세요, 나중에 관계가 있습니다.

그런 다음 지원서를 살펴보았고, 그 시작 부분은 다음과 같았습니다: "저는 6년 이상의 풍부한 경험을 가진 블록체인 개발자입니다."

그 후에는 모호한 정보가 이어졌으며, 일반적인 자랑거리들이었습니다. 하지만 이해할 수 있었습니다. 모든 사람이 지원서를 잘 쓰는 것은 아니니까요.

마지막으로, 그는 지원서에 이렇게 적었습니다: "세상은 제 손에서 위대한 결과를 보게 될 것입니다."

…

나는 즉시 이 자식이 마치 본드 악당처럼 들린다고 생각했습니다.

나는 그의 팔이 실제로 레이저 포라는 상상을 했고, 그의 눈은 플루토늄이나 다른 것으로 만들어졌다고 상상했습니다.

"세상은 제 손에서 위대한 결과를 보게 될 것입니다"???

정상적인 사람이 누가 그렇게 말합니까?

이것은 불안하게 만들었고, 나는 그의 GitHub를 확인했습니다. 지난 12개월 동안 12번의 커밋? 이것은 "풍부한 경험"이 아닙니다.

또한, 그가 참여한 프로젝트들은 무작위로 보였습니다:

BoredBunnies

PantherSwap

MetaverseDAO

그냥, 나는 스스로에게 말했습니다. Crypto는 이상하고 흥미로운 공간이며, 그곳에는 이상하고 흥미로운 사람들이 가득합니다! 보세요, 아마도 Bobby는 단순히 괴짜일 뿐입니다.

그런 다음, 나는 면접을 시작했습니다!

안녕하세요, Aztec의 Jon입니다. Bobby인가요?

"네. 이곳은…Bobby Sierra입니다."

나는 몇 가지를 관찰했습니다:

그의 카메라는 꺼져 있었습니다;

5명 이상의 사람들이 배경에서 시끄럽게 이야기하고 있었습니다;

뚜렷한 한국 억양;

나는 그에게 왜 목소리가 그렇게 큰지 물었습니다.

"오, 저는 사무실에 있습니다."

WTF, 그런데 왜 또 다른 5명이 한국어와 영어를 혼합하여 이야기하고 있습니까?

당신은 내가 그가 한국인이라는 것을 어떻게 알았는지 물을 수 있습니다.

헤헤, 내 좋은 친구들 중 일부는 한국인이어서 한국 억양에 매우 익숙하지만, 이것은 일반적인 한국계 미국인이나 한국계 캐나다인 또는 한국계의 어떤 억양도 아닙니다.

"Bobby"는 물론 영어를 할 수 있지만, 일반적인 영어가 아닙니다: 뻣뻣하고, 공식적이며, 거의 이해할 수 없습니다.

그래서, "Bobby, 자기소개 좀 해주세요."

"저는 많은 블록체인 개발, 토큰 발행에 참여했으며, 많은 성공적인 프로젝트가 있습니다. 매우 성공적이며, 많은 블록체인 경험이 있으며, 매우 좋은 결과를 가져왔습니다. 알겠죠?"

간단히 분석해 보겠습니다:

1）첫 번째 부분은 그냥 헛소리입니다. 이 점 때문에 그의 면접 자격을 취소하고 싶습니다.

2）"알겠죠?"

"알겠죠?"라는 표현은 이 자식이 한국인이라는 것을 확신하게 만들었습니다. 어떻게 알았냐고요?

내 친구의 엄마는 그들이 나에게 뜨거운 갈비탕을 주기 전에 항상 이런 개소리를 합니다.

"이거 정말 맛있어, 식기 전에 먹어, 알겠지?"

이제 경고의 종이 울렸습니다. 나는 최근 빈번하게 발생하는 북한 해커 공격 사건을 알고 있습니다.

우리는 Lazarus Group과 같은 북한 해커들이 주요 프로토콜과 개인을 공격하고 있다는 것을 알고 있습니다.

Ronin이 6억 달러를 도난당했습니다; Arthur0x, Mgnr 및 수많은 다른 유명 계정이 공격당했습니다.

나는 공격 매체가 무엇인지 모르겠습니다.

• 손상된 .docx 이력서를 다운로드하나요?
• 누군가 화면을 공유하고 Metamask로 탐색하나요?
• 우리 코드 저장소에 대한 접근 권한을 얻고 악성 수정을 푸시하나요?

나는 그것을 인터넷에 추측하게 두겠습니다.

사실, 나는 이 사람들이 북한 해커인지 모르겠습니다. Bobby는 단순히 매우 무능한 사람일 수 있지만, 내 모든 섬유는 이것이 사실이 아니라고 말합니다.

두려움과 오락 외에도, 나는 이 이상한 상호작용에서 많은 것을 배웠습니다.

1）우리의 전체 세계는 신뢰를 기반으로 구축되어 있습니다. 누군가가 그들의 이력서와 GitHub를 보여주면 우리는 그것을 믿습니다.

• 스마트 계약의 위험은 과대평가되어 있으며, 어떤 것이든 공격의 매개체가 될 수 있습니다: 채용, 이벤트, 여행 등.
• 첨부 파일을 함부로 다운로드하지 말고, 지갑을 자신의 기계에 격리하세요, 등등.

그 후, "Bobby"는 그의 GitHub를 업데이트했으며, 이제는 새로운 계정을 가리키고 있으며, 더 많은 코드 커밋이 있습니다.

나는 이 사람들이 배우고, 적응하고, 더 똑똑해지고 있다고 믿습니다.

다행히도, 그들은 얼마나 그들이 엉망이고 무능한지를 해결할 수 없습니다.

우리는 단지 영리함을 유지해야 합니다.