Bandeiras Ketman apoiadas pelo Ethereum indicam infiltração generalizada da Coreia do Norte em contratações de criptomoedas

Uma nova investigação apoiada pela Fundação Ethereum trouxe uma atenção renovada a um problema de segurança de longa data no mundo cripto: operativos norte-coreanos se passando por desenvolvedores remotos legítimos. Em um recente resumo da Ethereum Foundation ETH Rangers, a organização afirmou que um destinatário financiado usou a bolsa para construir e expandir o Ketman, um projeto de inteligência de ameaças focado em descobrir trabalhadores de TI da DPRK dentro de projetos blockchain. O resumo disse que a equipe entrou em contato com aproximadamente 53 projetos e identificou cerca de 100 diferentes trabalhadores de TI da DPRK operando dentro de organizações Web3.

As descobertas surgiram após o comentarista de cripto Colin Wu destacar o relatório no X, dizendo que a análise mostrou que o Ketman havia descoberto cerca de 100 hackers norte-coreanos infiltrados em projetos cripto. A postagem de Wu também apontou para reportagens que indicavam que os operativos frequentemente usavam identidades japonesas falsificadas para garantir empregos remotos em Web3, um detalhe que se encaixa no padrão descrito no próprio relatório do Ketman sobre infiltração em plataformas de freelancing.

O relatório público do Ketman, publicado em 16 de abril de 2025, descreve como a investigação começou com um ator suspeito em um repositório de um desenvolvedor legítimo e se expandiu para um grupo mais amplo ligado ao ecossistema de freelancers onlyDust. Os pesquisadores escreveram que primeiro notaram manipulação do histórico de contas, atividades de spam, mudanças suspeitas de identidade e vários outros sinais de alerta, e então rastrearam essas contas até uma rede mais ampla de colaboradores trabalhando em múltiplos repositórios. No relatório, o Ketman afirma que descobriu atores usando múltiplos aliases, identidades falsas e até documentos fabricados como parte do processo de contratação.

Alerta de Segurança em Criptomoedas

Uma das partes mais marcantes do documento do Ketman é a alegação de que alguns dos atores suspeitos se apresentaram como japoneses, embora os pesquisadores tenham concluído que estavam ligados a atividades vinculadas à DPRK. O relatório diz que um dos indivíduos usou múltiplos nomes e afirmou ser japonês, enquanto a equipe também mencionou um documento japonês falso usado durante o processo de verificação. O Ketman afirma que esse tipo de lavagem de identidade pode ajudar contribuintes suspeitos a construir credibilidade, receber pagamentos e, posteriormente, usar essa experiência para assumir funções mais sensíveis.

O resumo da Ethereum Foundation enquadrou esse trabalho como parte de um esforço de segurança mais amplo, e não uma investigação pontual. Junto com as descobertas do Ketman, o resumo dos ETH Rangers afirmou que o programa geral recuperou ou congelou mais de 5,8 milhões de dólares, documentou mais de 785 vulnerabilidades e identificou aproximadamente 100 operativos patrocinados pelo Estado em todo o ecossistema. Esse contexto ajuda a explicar por que a Fundação está tratando essa classe de ameaça como uma questão operacional séria para as equipes Web3, e não apenas um problema de pesquisa de nicho.

O Ketman também argumentou publicamente que as equipes devem verificar os trabalhadores remotos de forma mais rigorosa, incluindo por meio de chamadas de vídeo e uma análise mais detalhada de inconsistências no comportamento ou nas alegações de identidade. Em seu relatório, o projeto afirma que documentos de KYC sozinhos não são suficientes e recomenda etapas de verificação que vão além de documentos estáticos. O aviso chega em um ano em que autoridades dos EUA continuam a sinalizar a atividade de trabalhadores de TI da DPRK como uma ameaça em evolução, incluindo extorsão de dados e outras formas de abuso relacionadas a golpes de emprego remoto.

Para startups de cripto, a lição é desconfortável, mas clara. A infiltração ligada à Coreia do Norte não é mais apenas um problema de hacking na borda da rede. É também um problema de contratação, de triagem de contratados e de confiança dentro de equipes que dependem de colaboração remota. As descobertas do Ketman sugerem que currículos falsos, históricos polidos no GitHub e personas convincentes em entrevistas ainda podem passar despercebidos, a menos que os projetos reforcem a forma como verificam os desenvolvedores antes de dar acesso ao código, fundos ou comunicações internas.