開発者としての求職を装う北朝鮮ハッカーをどう見抜くか?
TechFlow厳選深潮セレクト
開発者としての求職を装う北朝鮮ハッカーをどう見抜くか?
暗号資産の世界には、奇妙で面白い人が everywhere いるんだよ…
Web3業界の深掘り報道に専念し潮流を洞察執筆:TechFlow
3月27日、Blast上で悲報が伝わった。Web3ゲームプラットフォーム「Munchables」が1.7万枚以上のETHを盗まれ、その価値は6250万ドルに達した。
チェーン上探偵のZachXBTは、Munchablesのハッキングは開発者を装った北朝鮮ハッカーを雇ってしまったことが原因かもしれないとしており、スローウォーター(Slow Mist)創設者の余弦も「これは少なくとも2例目となるDeFi系プロジェクトが同様の手口で被害に遭ったケースだ。核心的な開発者が長期間潜伏し、チームの信頼を得た後、タイミングを見計らって容赦なく攻撃を仕掛けてくるのだ」と述べている。
暗号資産プロジェクトの創業者であるあなたが、リモート勤務の開発者候補を面接する際、北朝鮮のハッカーとやり取りすることはもはや珍しいことではない。
Monadの創設者Keoneは2022年にX上で、Solidity開発者の募集に対して多数の応募があったが、その多くが北朝鮮人だと考えられると明かしており、以下のような共通特徴を指摘している。
-
GitHubのユーザー名が「SuperTalentedDev726」や「CryptoKnight415」などになりがち。
-
メールアドレスやGitHubのユーザー名に数字を使う傾向がある(おそらく複数の身元を追跡するため?)。
-
日本人のふりをすることが多い(韓国人だとバレやすいからだろう)。また、過去に日本、香港、シンガポールのトップ校(国立大学、南洋理工大学、香港大学、香港科技大学など)に在籍していたと主張するケースが多い。
-
GitHubではしばしばコードベースを盗用しており、既存のプロジェクトをコピーして、自身のユーザー名で再びコミット履歴を作成している。
-
複数の異なるメールアドレスを使って繰り返し応募することが多い。
-
Solidity/EVMの経験が早すぎる(例えば2015年など)。
最新の情報によれば、GitHubユーザー「Werewolves0493」がMunchables攻撃の背後にいる北朝鮮ハッカーだとされている。彼のGitHub上のメールアドレスはseniordev1225@gmail.comであり、概ねKeoneが指摘した特徴に合致している。
2022年には、プライバシープロトコルaztecnetworkのスタッフJonwuも面接中に北朝鮮ハッカーと遭遇しており、オンライン面接の様子を以下のように語っている。
まず、私たちaztecnetworkは採用活動中で、@Greenhouseを通じて「Bobby Sierra - Solidity Engineer」という人物から応募を受けた。
内部審査を経て、私にオンライン面接の担当が割り当てられた。
ざっと履歴書を確認した。
氏名:Bobby Sierra
応募職種:Solidityエンジニア
所在地:オンタリオ
言語:英語および若干の中国語
経験:F2pool。他にもDAOやNFTプロジェクトの経歴がある。
これを覚えておいてほしい。あとで重要になる。
その後、カバーレターを読んだ。「私は6年以上の豊富な経験を持つブロックチェーン開発者です」で始まっていた。
その後は曖昧な自己宣伝が続くが、まあしょうがない。誰もが良いカバーレターが書けるわけではない。
最後にこう書いてある。「世界は私の手によって偉大な成果を見るでしょう」。
…
瞬時に、「この野郎、ジェームズ・ボンドの悪役みたいだ」と思った。
腕がレーザー砲で、眼球がプルトニウム製とかそんな感じの男を想像した。
「世界は私の手によって偉大な成果を見るでしょう」???
普通の人間がそんなこと言うか?
不気味だった。そこで直ちに彼のGitHubを確認すると、過去12ヶ月間でたった12回のコミットしかない。これで「豊富な経験」はないだろう。
さらに、参加しているプロジェクトもランダムに見える:
BoredBunnies
PantherSwap
MetaverseDAO
まあいいか、と自分に言い聞かせた。暗号業界は奇妙で面白い場所だから、そこに奇妙で面白い人間がいてもおかしくない!もしかしたらBobbyはただ個性的なだけかもしれない。
そして、面接開始。
こんにちは、Aztecのjonですが、Bobbyさんですか?
「Yes. This is...Bobby Sierra。」
私が観察した点:
カメラはオフ;
背景で5人以上が大声で会話;
明らかに韓国訛り;
音がうるさい理由を尋ねた。
「ああ、オフィスにいます。」
WTF、でもなんで5人以上が韓国語と英語の混合で喋ってるんだ?
どうして韓国訛りだと分かったのか?
フフ、親友に韓国人が何人かいるので、韓国訛りにはとても慣れている。しかし、これは普通の韓系アメリカ人や韓系カナダ人などの訛りとは違う。
「Bobby」は英語を話すが、自然ではなく、ぎこちなく、形式的で、ほとんど理解不能。
では、「Bobby、自己紹介をお願いします。」
「私は、多くのブロックチェーン開発、トークン発行に関わってきた。成功したプロジェクトがたくさんあり、非常に成功している。多くのブロックチェーン経験があり、すべて非常に良い結果を出している。Okay?」
簡単に分析:
1)最初の部分は完全なナンセンス。これだけで面接を打ち切りたい気分だ。
2)「Okay」
「Okay」という表現で、この男が韓国人だと確信した。なぜわかるのか?
友人の母親が、熱々の豚骨スープを出す前に必ず「これ美味しいよ、冷める前に食べなさい、Okay?」と言うからだ。
ここで警鐘が鳴った。最近頻発している北朝鮮ハッカーの攻撃について知っていた。
さらに深掘りすることにした。
Where are you based, Bobby?
Bobby:「Based?」
つまり、今どこにいるの?
「ああ、香港。」
「香港?前回の勤務先はどこ?」
「ああ、Ateke。」
それって何?
「ドイツの会社、あるいはフランスの会社。よく分からない。」
履歴書にはF2poolで働いたと書いてありますが、F2poolについて教えてもらえますか?
「ええええ、ちょっと待ってください。」
その後、5分間ミュートになった。
Bobbyが戻ってきたとき、まるで別人になっていた。
「こんにちは、聞こえますか?」
はい、Bobby、聞こえています。
「私は経験豊富なブロックチェーン開発者です。新しい仕事を求めています。非常に経験が豊富で、貴社に価値を提供できます。今すぐエンジニアの職を求めております。Okay?」
真偽のほどはともかく、私は電話を切った。
Lazarus Groupのような北朝鮮ハッカーが、主要プロトコルや個人を標的にして攻撃していることは周知の事実だ。
Roninが6億ドルを盗まれた。Arthur0x、Mgnr、その他無数の著名なアカウントが攻撃された。
攻撃の手法が何かは分からない。
-
破損した.docx履歴書をダウンロードさせる?
-
画面共有させてMetaMaskにアクセスさせる?
-
コードベースへのアクセス権を得て、悪意のある変更をプッシュする?
それはインターネットに推測させよう。
実際、これらの人物が本当に北朝鮮のハッカーかどうかは分からない。Bobbyは単に非常に無能な人物かもしれない。だが、私の感覚はすべてが「そうではない」と告げている。
恐怖と娯楽以外にも、この奇妙なやり取りから多くを学んだ。
1)私たちの世界はすべて信頼の上に成り立っている。誰かが履歴書やGitHubを見せれば、私たちはそれを信じてしまう。
-
スマートコントラクトのリスクは過大評価されており、攻撃の媒体となり得るのはそれだけではない。採用、イベント、旅行など何でもなり得る。
-
安易に添付ファイルをダウンロードせず、ウォレットは専用の端末に隔離するなど、基本的なセキュリティ対策を徹底せよ。
その後、「Bobby」はGitHubを更新し、新しいアカウントに移行した。そこにはより多くのコードコミットが存在する。
彼らは学び、適応し、より賢くなっていると私は信じている。
幸運なことに、彼らがいかに非現実的で無能であるかという点については、解決できないだろう。
我々がすべきことは、賢くあればよいだけだ。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
深潮TechFlow
