المؤلف: ZachXBT، محقق العملات المشفرة الترجمة: Golden Finance xiaozou
طلب فريق مؤخرًا مساعدتي، كان سبب الأمر هو قيام شخص ما بسرقة 1.3 مليون دولار من قبوه من خلال تعليمات برمجية ضارة.
ما لم يعرفه هذا الفريق هو أنهم قاموا بتعيين العديد من موظفي تكنولوجيا المعلومات في كوريا الشمالية بهويات مزيفة كمطورين.
ثم اكتشفت ما لا يقل عن 25 مشروعًا للعملات المشفرة تتعلق بهؤلاء المطورين الذين كانوا نشطين منذ يونيو 2024.
مسار غسيل الأموال هذه الحادثة كالتالي:
1) تحويل 1.3 مليون دولار إلى العنوان المسروق
2) عبر جسر deBridge بقيمة 1.3 مليون دولار من Solana إلى Ethereum
3) إيداع 50.2 ETH في Tornado
4) تحويل 16.5 إيثريوم إلى بورصتين
العنوان المسروق هو:
6USfQ9BX33LNvuR44TXr8XKzyEgervPcF4QtZZfWMnet p>
باستخدام عناوين دفع متعددة من 21 مطورًا، تمكنت من رسم مجموعة من الدفعات الأخيرة بحوالي 375000 دولار أمريكي خلال الشهر الماضي.
0 xb721adfc3d9fe01e9b3332183665a503447b1d35
في الأسبوع الماضي، ربما تكون قد رأيت أيضًا، من فضلك اتصل لي مباشرة لهذه المشاريع.
في السابق، تدفقت 5.5 مليون دولار إلى عنوان إيداع النقد الأجنبي الذي تضمن المدفوعات التي تلقاها موظفو تكنولوجيا المعلومات في كوريا الشمالية من يوليو 2023 إلى 2024. وتم ربط العنوان بالشخص الخاضع لعقوبات مكتب مراقبة الأصول الأجنبية سيم هيون سوب.
0x8f0212b1a77af1573c6ccdd8775ac3fd09acf014
تم اكتشاف بعض الأشياء المثيرة للاهتمام أثناء التحقيق:
- يتم استخدام بروتوكول IP الخاص بشركة الاتصالات الروسية من قبل المطورين في الولايات المتحدة وماليزيا.
- في سجل التطوير كشفوا عن طريق الخطأ عن هوياتهم الأخرى في برنامج Notepad.
- تطوير عناوين الدفع يشمل سانج مان كيم وسيم هيون سوب المدرجين في قائمة عقوبات مكتب مراقبة الأصول الأجنبية.
- يتم تعيين بعض المطورين عن طريق شركات التوظيف.
- تضم المشاريع المتعددة أكثر من 3 موظفين موصى بهم بشكل متبادل في مجال تكنولوجيا المعلومات.
العديد من الفرق ذات الخبرة جميعهم توظيف هؤلاء المطورين، لذلك ليس من العدل إلقاء اللوم عليهم.
تتضمن بعض المؤشرات التي يمكن لكل فريق التركيز عليها في المستقبل ما يلي:
1) ما يوصون ببعضهم البعض بالدور
2) سيرة ذاتية جميلة/نشاط GitHub، على الرغم من أنه يكمن أحيانًا في خبرة العمل.
3) غالبًا ما يبدون على استعداد لقبول KYC، ولكنهم يقدمون هوية مزورة على أمل ألا يقوم الفريق بإجراء مزيد من التحقيق.
4) اطرح أسئلة محددة حول المكان الذي يزعمون أنهم ينتمون إليه.
5) يتم طرد أحد المطورين، ولكن تظهر على الفور عدة حسابات جديدة تبحث عن عمل.
6) قد تبدو للوهلة الأولى أنك مطور جيد جدًا، ولكن غالبًا لا يكون أدائك جيدًا في العمل.
7) عرض السجل
8) أحب استخدام NFT pfps الشهير
< p style="text-align: left;">9) اللهجة الآسيوية
في حال كنت من النوع الذي يلقي اللوم في كل شيء على كوريا الشمالية ويسميها شعب مؤامرة ضخمة.
على أية حال، تثبت هذه الدراسة:
في آسيا، يقوم كيان ما بإنشاء شخصية مزيفة يمكنه العمل في أكثر من 25 مشروعًا في نفس الوقت وكسب دخل يتراوح بين 300000 دولار أمريكي إلى 500000 دولار أمريكي شهريًا.
المتابعة:
بعد وقت قصير من نشر هذه المقالة، اكتشف مشروع آخر أنهم قام بتعييني أحد موظفي تكنولوجيا المعلومات من كوريا الشمالية والمدرج في القائمة (Naoki Murano) وقام موظفو إدارة المشروع بمشاركة مقالتي في الدردشة الخاصة بهم.
النتائج نعم، في غضون دقيقتين، خرج Naoki من الدردشة وحذف Github الخاص به.