Comment identifier les hackers nord-coréens qui se font passer pour des candidats développeurs ?
TechFlow SélectionTechFlow Sélection
Comment identifier les hackers nord-coréens qui se font passer pour des candidats développeurs ?
Dans le monde de la crypto, il y a tellement de gens bizarres et intéressants...
Dédié à des analyses Web3 approfondiesRédaction : TechFlow
Le 27 mars, une mauvaise nouvelle est tombée sur Blast : la plateforme de jeux Web3 Munchables a été piratée, perdant plus de 17 000 ETH, d'une valeur de 62,5 millions de dollars.
L'enquêteur blockchain ZachXBT a indiqué que le piratage de Munchables pourrait résulter de l'embauche d'un hacker nord-coréen se faisant passer pour un développeur. Yu Xian, fondateur de SlowMist, a également déclaré : « C'est au moins la deuxième fois que nous voyons ce type de cas toucher des projets DeFi. Un développeur principal s'infiltrant sous une fausse identité, gagnant longtemps la confiance de toute l'équipe, puis frappant sans pitié au bon moment. »
Quand vous êtes fondateur d'un projet crypto et que vous recrutez des développeurs à distance, rencontrer un hacker nord-coréen n'est peut-être pas si inhabituel.
Keone, fondateur de Monad, a révélé en 2022 sur X qu'ils avaient publié de nombreuses offres d'emploi pour des développeurs Solidity et reçu de nombreux CV... mais ils pensaient que beaucoup provenaient de Nord-Coréens, et ont identifié certaines caractéristiques communes :
-
Ils semblent préférer des pseudos GitHub comme SuperTalentedDev726 ou CryptoKnight415 ;
-
Ils aiment aussi utiliser des chiffres dans leurs e-mails et pseudos GitHub, peut-être une manière de suivre les identités utilisées lors de leurs candidatures ?
-
Ils tendent à adopter une identité japonaise (peut-être parce qu'une identité coréenne serait trop évidente), affirmant souvent avoir étudié auparavant dans des universités d'élite du Japon, de Hong Kong ou de Singapour (Université nationale de Singapour, Université technologique de Nanyang, Université de Hong Kong, Université des sciences et technologies de Hong Kong) ;
-
Leurs dépôts GitHub sont souvent (mais pas toujours) des copies de code existantes : ils prennent des projets existants et modifient les messages de commit avec leur propre nom d'utilisateur ;
-
Ils postulent fréquemment plusieurs fois pour le même poste avec différentes adresses e-mail ;
-
Ils prétendent avoir acquis une expérience en Solidity/EVM très tôt (par exemple dès 2015).
Selon les dernières informations, l'utilisateur GitHub Werewolves0493 serait le hacker nord-coréen derrière l'attaque de Munchables. Son adresse e-mail sur GitHub, seniordev1225@gmail.com, correspond assez bien aux critères décrits par Keone, fondateur de Monad.
En 2022, Jonwu, membre de l'équipe du protocole de confidentialité aztecnetwork, avait également rencontré un hacker nord-coréen pendant un entretien, et a décrit la scène d'entretien en ligne. Voici son témoignage :
D'abord, aztecnetwork recrutait, et nous avons reçu via @Greenhouse une candidature intitulée « Bobby Sierra - Ingénieur Solidity ».
Après examen interne, le système m'a attribué un entretien en ligne.
J'ai rapidement parcouru le CV.
Nom : Bobby Sierra
Poste visé : Ingénieur Solidity
Lieu : Ontario
Langues : Anglais et un peu de chinois
Expérience : F2pool, quelques projets DAO et NFT mentionnés sur le CV.
Retenez bien cela, ça va être important plus tard.
Puis j'ai lu la lettre de motivation, qui commence ainsi : « Je suis un développeur blockchain possédant plus de 6 ans d'expérience riche et variée. »
Ensuite, une série d'informations vagues, du genre auto-promotion générique, compréhensible – tout le monde ne sait pas forcément bien rédiger une lettre de motivation.
À la fin, il écrit : « Le monde verra de grands résultats entre mes mains. »
...
Instantanément, je me suis dit : ce type a l'air d'un méchant de James Bond.
J'imagine un mec dont le bras est en fait un canon laser, et les yeux faits de plutonium ou autre chose.
« Le monde verra de grands résultats entre mes mains » ???
Qui diable parle comme ça, normalement ?
C'était troublant. J'ai alors consulté son GitHub : 12 commits au cours des 12 derniers mois ? Ce n'est pas vraiment « une riche expérience ».
De plus, les projets auxquels il a participé semblaient aléatoires :
BoredBunnies
PantherSwap
MetaverseDAO
Bon, me suis-je dit, la crypto est un espace étrange et intéressant, rempli de gens bizarres et intéressants ! Peut-être que Bobby est juste un type excentrique.
Puis, l'entretien a commencé !
Salut, ici Jon d’Aztec, c’est Bobby ?
« Yes. This is...Bobby Sierra. »
J'ai remarqué plusieurs choses :
Sa caméra était éteinte ;
Plus de 5 personnes parlaient fort en arrière-plan ;
Un accent coréen évident ;
Je lui ai demandé pourquoi c'était si bruyant.
« Oh, je suis au bureau. »
WTF, mais pourquoi y a-t-il encore 5 autres personnes qui parlent un mélange de coréen et d'anglais ?
Vous allez me demander comment je sais qu'il est coréen ?
Eh bien, j'ai de bons amis coréens, donc je connais bien l'accent coréen, mais ce n'est pas l'accent typique d'un Coréen-Américain, Coréen-Canadien ou d'un Coréen vivant à l'étranger.
"Bobby" parle anglais, certes, mais un anglais bizarre : raide, formel, presque incompréhensible.
Alors, « Bobby, présente-toi un peu. »
« Moi, participé à beaucoup de développement blockchain, lancement de jetons, beaucoup de projets réussis, très réussi, beaucoup d'expérience blockchain, tous avec de très bons résultats. Okay ? »
Analysons brièvement :
1) La première partie est purement et simplement du charabia, rien que pour ça j'avais envie d'annuler l'entretien
2) "Okay"
Ce mot « Okay » m'a convaincu que ce type est coréen. Comment je le sais ?
Parce que la mère de mon ami coréen me sort ce genre de phrase avant de me servir un bol brûlant de soupe aux côtes.
« C'est très bon, mange tant que c'est chaud, okay ? »
Là, les alarmes se sont déclenchées. Je savais que les attaques récentes de hackers nord-coréens étaient fréquentes.
J'ai décidé d'approfondir.
Where are you based, Bobby?
Bobby : « Based ? »
Tu es où actuellement ?
« Oh, Hong Kong. »
« Hong Kong ? Où travaillais-tu avant ? »
« Oh, Ateke. »
Qu'est-ce que c'est ?
« Une entreprise allemande, ou française. Je ne sais pas. »
Sur ton CV tu dis avoir travaillé chez F2pool, peux-tu me parler de F2pool ?
« Euh euh euh, je peux attendre un peu ? »
Puis il m'a mis en sourdine pendant 5 minutes.
Quand Bobby est revenu, on aurait dit une personne complètement différente.
« Salut, tu es là ? »
Oui, Bobby, je suis là.
« Je suis un développeur blockchain expérimenté, je cherche un nouveau travail, j'ai beaucoup d'expérience, je peux apporter de la valeur à votre entreprise, je veux maintenant un poste d'ingénieur. Okay ? »
Vrai ou faux, j'ai raccroché.
Nous savons que des groupes de hackers nord-coréens comme Lazarus Group attaquent des protocoles majeurs et des comptes individuels.
Ronin a perdu 600 millions de dollars ; Arthur0x, Mgnr et d'innombrables comptes célèbres ont été piratés.
Je ne connais pas le vecteur d'attaque exact.
-
Télécharger un CV .docx compromis ?
-
Demander un partage d'écran et naviguer vers Metamask ?
-
Obtenir un accès à notre base de code et pousser une modification malveillante ?
Je laisse Internet spéculer.
En réalité, je ne sais pas si ces personnes sont vraiment des hackers nord-coréens. Bobby pourrait simplement être un type extrêmement incompétent, mais chaque fibre de mon corps dit le contraire.
Au-delà de la peur et de l'amusement, j'ai appris beaucoup de choses grâce à cette interaction étrange.
1) Notre monde entier repose sur la confiance. Si quelqu'un nous montre un CV et un GitHub, nous y croyons.
-
Les risques liés aux contrats intelligents sont surestimés. Tout peut devenir un vecteur d'attaque : recrutement, événements, déplacements, etc.
-
Ne téléchargez pas d'attachements au hasard, isolez votre portefeuille sur une machine dédiée, etc.
Plus tard, "Bobby" a mis à jour son GitHub, redirigeant vers un nouveau compte avec désormais davantage de commits.
Je crois que ces personnes apprennent, s'adaptent, deviennent plus intelligentes.
Heureusement, elles ne peuvent pas masquer à quel point elles sont profondément déconnectées et incompétentes.
Nous devons simplement rester vigilants.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
深潮TechFlow
