Bandeiras Ketman apoiadas na Ethereum indicam infiltração generalizada da Coreia do Norte em contratações no setor de criptomoedas

Uma nova investigação apoiada pela Fundação Ethereum trouxe uma atenção renovada a um problema de segurança de longa data no mundo cripto: operativos norte-coreanos disfarçados de desenvolvedores remotos legítimos. Numa recapitulação recente da Ethereum Foundation ETH Rangers, a organização afirmou que um beneficiário financiado usou a bolsa para construir e expandir o Ketman, um projeto de inteligência de ameaças focado em descobrir trabalhadores de TI da DPRK dentro de projetos blockchain. A recapitulação disse que a equipe contactou cerca de 53 projetos e identificou aproximadamente 100 diferentes trabalhadores de TI da DPRK operando em organizações Web3.

As descobertas surgiram após o comentador de cripto Colin Wu destacar o relatório no X, dizendo que a revisão mostrou que o Ketman tinha descoberto cerca de 100 hackers norte-coreanos infiltrados em projetos cripto. A publicação de Wu também apontou relatos que indicavam que os operativos usavam frequentemente identidades japonesas falsificadas para garantir empregos remotos em Web3, um detalhe que se encaixa no padrão descrito no próprio relatório do Ketman sobre infiltração em plataformas de freelancing.

O relatório público do Ketman, publicado em 16 de abril de 2025, descreve como a investigação começou com um ator suspeito num repositório de um desenvolvedor legítimo e expandiu-se para um grupo mais amplo ligado ao ecossistema de freelancers OnlyDust. Os investigadores escreveram que primeiro notaram manipulação do histórico de contas, atividades de spam, mudanças suspeitas de identidade e várias outras bandeiras vermelhas, depois rastrearam essas contas até uma rede mais ampla de colaboradores que atuavam em múltiplos repositórios. No relatório, o Ketman afirma que descobriu atores usando múltiplos aliases, identidades falsas e até documentos fabricados como parte do processo de contratação.

Alerta de Segurança em Cripto

Uma das partes mais marcantes do relatório do Ketman é a alegação de que alguns dos atores suspeitos se apresentaram como japoneses, embora os investigadores tenham concluído que estavam ligados a atividades associadas à DPRK. O relatório afirma que um dos suspeitos usou múltiplos nomes e alegou ser japonês, enquanto a equipe também referenciou um documento japonês falso usado durante o processo de verificação. O Ketman afirma que esse tipo de lavagem de identidade pode ajudar colaboradores suspeitos a construir credibilidade, receber pagamentos e, posteriormente, usar essa experiência para assumir funções mais sensíveis.

A recapitulação da Ethereum Foundation enquadrou esse trabalho como parte de um esforço de segurança mais amplo, e não uma investigação pontual. Juntamente com as descobertas do Ketman, o resumo dos ETH Rangers afirmou que o programa geral recuperou ou congelou mais de 5,8 milhões de dólares, documentou mais de 785 vulnerabilidades e identificou aproximadamente 100 operativos patrocinados pelo Estado em todo o ecossistema. Esse contexto ajuda a explicar por que a Fundação trata essa classe de ameaça como uma questão operacional séria para as equipes Web3, não apenas um problema de pesquisa de nicho.

O Ketman também argumentou publicamente que as equipes devem verificar os trabalhadores remotos de forma mais rigorosa, incluindo por meio de chamadas de vídeo e uma análise mais detalhada de inconsistências no comportamento ou nas alegações de identidade. No seu relatório, o projeto afirma que apenas documentos KYC não são suficientes e recomenda passos de verificação que vão além de documentos estáticos. O aviso chega num ano em que as autoridades dos EUA continuam a sinalizar a atividade de trabalhadores de TI da DPRK como uma ameaça em evolução, incluindo extorsão de dados e outras formas de abuso relacionadas a golpes de emprego remoto.

Para startups cripto, a lição é desconfortável, mas clara. A infiltração ligada à Coreia do Norte não é mais apenas um problema de hacking na periferia da rede. É também um problema de contratação, de triagem de contratados e de confiança dentro de equipes que dependem de colaboração remota. As descobertas do Ketman sugerem que currículos falsificados, históricos polidos no GitHub e personas convincentes em entrevistas ainda podem passar despercebidos, a menos que os projetos reforcem a forma como verificam os desenvolvedores antes de lhes conceder acesso ao código, fundos ou comunicações internas.