El investigador de blockchain ZachXBT ha publicado información sobre desarrolladores norcoreanos que supuestamente robaron 1,3 millones de dólares de la tesorería de un proyecto.
El robo se llevó a cabo cuando los desarrolladores, que habían sido contratados con identidades falsas, inyectaron un código malicioso en el sistema, lo que permitió la transferencia no autorizada de fondos.
ZachXBT descubre el plan de trabajadores criptográficos
ZachXBT explicó en X que los fondos robados se enviaron inicialmente a una dirección robada y se conectaron desde Solana a Ethereum a través de la plataforma deBridge. Los fondos, 50,2 ETH, se depositaron en Tornado Cash, un mezclador de criptomonedas que oculta los rastros de las transacciones. Después de eso, se transfirieron 16,5 ETH a dos intercambios.
1/ Recientemente, un equipo se acercó a mí para pedirme ayuda después de que se robaran 1,3 millones de dólares del tesoro después de que se insertara un código malicioso.
Sin que el equipo lo supiera, habían contratado a varios trabajadores de TI de la RPDC como desarrolladores que utilizaban identidades falsas.
Luego descubrí más de 25 proyectos criptográficos con… pic.twitter.com/W7SgY97Rd8
– ZachXBT (@zachxbt) 15 de agosto de 2024
Según ZachXBT, desde junio de 2024, los trabajadores de TI de Corea del Norte se han infiltrado en más de 25 proyectos criptográficos utilizando múltiples direcciones de pago. Señaló que podría haber una sola entidad en Asia, probablemente con sede en Corea del Norte, que reciba entre 300.000 y 500.000 dólares cada mes y emplee al menos a 21 trabajadores en diferentes proyectos criptográficos.
Un análisis más detallado señaló que antes de este caso, se habían canalizado 5,5 millones de dólares a una dirección de depósito de intercambio vinculada a pagos realizados a trabajadores de TI de Corea del Norte entre julio de 2023 y julio de 2024. Estos pagos estaban vinculados a Sim Hyon Sop, una persona sancionada por la Oficina de EE. UU. de Control de Activos Extranjeros (OFAC).
La investigación de ZachXBT profundizó en los diversos errores y patrones inusuales cometidos por los actores maliciosos. Hubo superposiciones de IP entre desarrolladores supuestamente con sede en EE. UU. y Malasia y filtraciones accidentales de identidades alternativas durante las sesiones grabadas.
Tras el incidente, ZackXBT se puso en contacto con los proyectos afectados y les aconsejó que revisaran sus registros y realizaran verificaciones de antecedentes más intensivas. También notó varias señales de alerta que los equipos pueden monitorear, como referencias para roles de otros desarrolladores, inconsistencia en el historial laboral y currículums o perfiles de GitHub muy pulidos.
Aumento del cibercrimen en Corea del Norte
Mientras tanto, los grupos vinculados a Corea del Norte han estado asociados desde hace mucho tiempo con el delito cibernético. Sus tácticas a menudo incluyen esquemas de phishing, explotación de vulnerabilidades de software, acceso no autorizado al sistema, robo de claves privadas e incluso infiltrarse en organizaciones en persona.
Una de sus organizaciones más infames, Lazarus Group, supuestamente robó más de 3.000 millones de dólares en criptoactivos entre 2017 y 2023.
En 2022, el gobierno de EE. UU. advirtió sobre el creciente número de trabajadores norcoreanos que asumían puestos tecnológicos independientes, especialmente aquellos en el sector de las criptomonedas.
Binance Free $600 (exclusivo de CryptoPotato): use este enlace para registrar una nueva cuenta y reciba una oferta de bienvenida exclusiva de $600 en Binance (detalles completos).
OFERTA LIMITADA 2024 en BYDFi Exchange: ¡Recompensa de bienvenida de hasta $2,888, use este enlace para registrarse y abrir una posición de 100 USDT-M gratis!