Amikor a hekkerek jelentkeznek állásra

Hat észak-koreai hekkercsapat 31 hamis identitással szivárgott be a kriptovalutás cégekhez, súlyos károkat okozva világszerte.

Hamis identitásokkal a kriptoipar szívébe

Egy friss vizsgálat szerint egy kis létszámú, mindössze hat főből álló észak-koreai csapat évek óta aktívan dolgozik azon, hogy álneveken keresztül beépüljön a kriptoipar különböző cégeibe. A híres kripto-nyomozó, ZachXBT egy bejegyzésében osztott meg képernyőmentéseket és adatokat, amelyek egy ilyen ál-identitással dolgozó hekker gépéről származnak. A bizonyítékok szerint a csapat legalább 31 különböző hamis személyazonosságot használt, amelyekhez hamisított kormányzati okmányokat, telefonszámokat, sőt, LinkedIn- és UpWork-fiókokat is felhasználtak. Mindezek célja az volt, hogy kriptovaluta-projektekhez kapcsolódó munkákat szerezzenek, például blokklánc-fejlesztői vagy okosszerződés-mérnöki pozíciókat. A jelentések szerint az egyikük például a Polygon Labs egyik fejlesztői állására is jelentkezett, míg mások állítólagos tapasztalatokat soroltak fel az OpenSea vagy a Chainlink cégeknél. A cégek ezek alapján gyakran minden gyanú nélkül alkalmazták is őket -írja a Cointelegraph.com.

Távoli hozzáférés és rejtőzködés VPN mögött

A hamis szakemberek többnyire szabadúszó platformokon, például az Upworkön keresztül szerezték meg állásaikat. Ezek után olyan távoli hozzáférési programokat használtak, mint az AnyDesk, hogy elvégezzék a munkájukat – természetesen anélkül, hogy a megbízó tudott volna valódi kilétükről. Hogy elrejtsék tartózkodási helyüket, VPN-eket is bevetettek, így például úgy tűnhetett, hogy éppen Amerikából vagy Európából dolgoznak. A Google szolgáltatásait is előszeretettel használták: a Google Drive-on keresztül szervezték a munkát, a feladatokat, a költségvetéseket, és a napi menetrendet is. Angolul kommunikáltak, de gyakran használták a Google koreairól angolra fordító eszközét is. Az egyik táblázat szerint csak májusban közel 1 500 dollárt költöttek el ilyen műveletekre.

Kriptós támadások nyomai

A csapat kapcsolatba hozható több, nagy horderejű kriptós támadással is, például a 2025 júniusi Favrr platform elleni 680 000 dolláros támadással. Az egyik pénztárcacímük – a „0x78e1a” – „szoros kapcsolatban” áll ezzel az incidenssel, legalábbis ZachXBT szerint. A hekkerek gyakran használták a Payoneer szolgáltatást arra, hogy fiat pénzekből kriptovalutát konvertáljanak, majd ezeket a pénzeket a támadások során tovább mozgassák. Egy másik korábbi, 1,4 milliárd dolláros támadás – amely a Bitbit nevű tőzsdét érte – szintén kapcsolatba hozható észak-koreai szereplőkkel. A bizonyítékok alapján néhány fejlesztő, köztük egy bizonyos „Alex Hong” nevű személy is része volt ezeknek a műveleteknek. Az is kiderült, hogy a csapat mesterséges intelligenciával foglalkozó európai cégek után is érdeklődött, illetve azt kutatták, hogy egy ERC-20 token (ez az ethereum alapú tokenek egyik szabványa) futtatható-e solana hálózaton.

A cégek nem vizsgálják eléggé a jelölteket

ZachXBT szerint az ilyen támadások egy része nem is annyira kifinomult, egyszerűen csak túl sok jelentkező van, és a cégek kapacitáshiány miatt nem vizsgálják meg őket elég alaposan. Emiatt sok ál-identitású hekker mindenféle gyanú nélkül jut be akár komoly fejlesztői munkákba is. A helyzetet súlyosbítja, hogy nincs megfelelő együttműködés a techcégek és a szabadúszó platformok között. Emiatt az ilyen visszaélések szinte következmények nélkül maradnak. A múlt hónapban az amerikai pénzügyminisztérium is közbelépett: szankciókat szabott ki két magánszemélyre és négy szervezetre, amelyek az észak-koreai hekkercsoporthoz kapcsolódtak. Az üzenet világos: a kriptoiparnak sokkal körültekintőbbnek kell lennie a jövőben.

A white paper és a megtévesztés művészete

Az egyik legérdekesebb aspektusa a történetnek az, ahogyan ezek az ál-identitások teljes hitelességgel tudnak fellépni. A munkákhoz rendszerint jól megírt „white paper”-eket (ezek technikai dokumentumok, amelyek egy projekt részleteit és céljait írják le) is használnak referenciaként, sőt előfordul, hogy saját „szakmai portfóliót” építenek fel hamis múltbéli projektekből. A cél, hogy az interjúztatók előtt tapasztalt blokklánc-fejlesztőnek tűnjenek. Az interjúkra sablonszerű válaszokat is készítenek elő, amelyekben előre begyakorolt szövegeket használnak. Ezeket gyakran egy képernyő mellett tartják nyitva, és a válaszokat olvasva reagálnak a kérdésekre. Az egész folyamat olyan profi, hogy sokszor még a tapasztalt HR-esek sem szúrják ki a csalást. Mindez csak még jobban rámutat arra, milyen sebezhető a digitális munkaerőpiac, különösen a decentralizált kriptoiparban.

Hozzászólnál a témához? Véleményed elmondhatod Discord szerverünkön.