如何識別偽裝成開發者求職的朝鮮黑客？

Crypto 裡面到處都是奇怪而有趣的人….

撰文：深潮 TechFlow

3月27日，Blast 上噩耗傳來， Web3 遊戲平臺 Munchables 被盜超 1.7 萬枚ETH，價值達 6250 萬美元。

鏈上偵探ZachXBT在表示，Munchables 被盜或因僱傭偽裝成開發者的朝鮮黑客，慢霧創始人餘弦也表示，“這是我們遇到的至少第二起 DeFi 類專案遭遇的這類情況了。核心開發者偽裝潛伏很久，獲得整個 Team 的信任，時機一到就下手了，毫不留情。”

當你是一個加密專案創始人，為面試遠端開發者求職者的時候，遇到朝鮮黑客或許並不是新鮮事。

Monad 創始人 Keone 就曾於 2022 年在 X 上披露，他們發佈了很多 Solidity 開發人員招聘資訊，並收到了很多簡歷……但是他們認為其中不少都是朝鮮人，並總結出了一些共同的特性：

他們似乎更喜歡像 SuperTalentedDev726 或 CryptoKnight415 這樣的 Github 用戶；
他們似乎還喜歡在電子郵件和 github 用戶名中使用數位，這可能是跟蹤他們申請的身分的一種方式？
他們還傾向於選擇日本身份（也許韓國人太明顯），並經常說他們此前就讀於日本、香港或新加坡的頂尖學校（新加坡國立大學、南洋理工大學、香港大學、香港科技大學）；
GitHub 經常（雖然不總是）竊取代碼庫，他們拿走現有專案並重新生成提交消息以使用他們的用戶名；
他們還經常傾向於使用多個電子郵件地址多次申請這份工作，這些電子郵件地址彼此不同；
擁有 Solidity/EVM 經驗的時間太早（比如 2015 年）。

根據最新的動態，Github 用戶 Werewolves0493 據稱是 Munchables 攻擊背後的朝鮮黑客，他在 Github 上的電子郵件地址是seniordev1225@gmail.com，各方面還比較符合Monad 創始人 Keone 的描述。

2022年，隱私協定 aztecnetwork 的工作人員 Jonwu也曾在面試過程中遇到了朝鮮黑客，並描述了線上面試時的場景，以下為他的自述：

首先，我們 aztecnetwork 正在招聘，在 @Greenhouse 上收到“Bobby Sierra – Solidity Engineer”的求職申請。

在內部審查之後，系統會分配給我一個線上面試。

掃描一下大致的簡歷。

姓名：Bobby Sierra

應聘：Solidity工程師

地點：安大略

語言：英文和一些中文

經驗：F2pool，簡歷上有一些 DAO 和 NFT 專案。

記住這一點，後面有關係。

然後我看了一下求職信，它的開頭是：“我是一名擁有 6 年以上豐富經驗的區塊鏈開發人員。”

然後是一堆模糊不清的資訊，屬於一些通用的自誇自擂，但是能理解，並不是每個人都擅長寫求職信。

最後，他在求職信上寫著：“世界將在我手中看到偉大的成果。”

…

我立刻就想，這個混蛋聽起來像個邦德惡棍。

我在想像一個傢伙，他的手臂實際上是一門雷射炮，他的眼球是由鈈或其他東西製成的。

“世界將在我手中看到偉大的成果”？？？

正常人誰他媽這麼說話？

這令人不安，我隨即去看了他的 Github，過去 12 個月內有 12 次提交？這並不是“豐富的經驗”。

另外，這些參與的專案似乎是隨機的：

BoredBunnies

PantherSwap

MetaverseDAO

算了，我對自己說，Crypto 是一個奇怪而有趣的空間，裡面到處都是奇怪而有趣的人！看，也許Bobby 只是個古怪的傢伙。

然後，我開始了面試！

嗨，這是來自Aztec的jon，是Bobby 嗎？

“Yes.This is…Bobby Sierra。”

我觀察到幾點：

他的相機關了；

5 個以上的人在後臺大聲說話；

明顯的韓國口音；

我問他為什麼聲音這麼大。

“哦，我在辦公室。”

WTF，但是為什麼還有另外 5 個人在說韓語和英語的混合語？

你可能會問，我怎麼知道他是韓國人？

嘿嘿，我的一些好的朋友是韓國人，所以對韓國口音非常熟悉，但這不是普通的韓裔美國人或韓裔加拿大人或韓裔的任何口音。

“Bobby”當然會說英語，但不是普通的英語：僵硬，正式，同時幾乎無法理解。

所以，“Bobby，自我介紹一下吧。

“我，參與過很多區塊鏈開發、代幣發行，有很多成功的專案，非常成功，很多區塊鏈經驗，都有非常好的結果。Okay？”

讓我們來簡單分析一下：

1）第一部分就是他媽的胡言亂語，沖著這一點就想取消他的面試資格

2）“Okay”

“Okay”這個表達讓我確信這傢伙是韓國人。我怎麼知道？

因為我朋友的媽媽都會在他們給我一碗滾燙的排骨湯之前說這些狗屎。

“這個很好吃，趁著涼快吃吧，Okay？”

現在警鐘已經響起。我知道最近頻頻出現的朝鮮黑客攻擊事件。

我決定進一步挖掘。

Where are you based, Bobby?

Bobby： “Based?”

就是，你現在在哪裡？

“哦，香港。”

“香港？你最後在哪裡工作？”

“哦，Ateke。”

那是什麼？

“德國公司，還是法國公司。我不知道。”

你簡歷上說你曾為 F2pool 工作，你能告訴我關於 F2pool 的事嗎？

“嗯嗯嗯，可以等一下嗎？”

然後他讓我靜音 5 分鐘。

當Bobb回來時，似乎換了一個新人。

“你好，你在嗎？”

是的，Bobby，我在呢。

“我是經驗豐富的區塊鏈開發人員，我想要一份新工作，我非常有經驗，可以為貴公司帶來價值，我現在想要工程師工作。Okay？”

不管真假，我都掛斷了電話。

我們知道，像 Lazarus Group 這樣的朝鮮黑客正在攻擊主要協定和個人。

Ronin被盜6 億美元；Arthur0x、Mgnr 和無數其他知名帳戶被攻擊。

我不知道攻擊媒介是什麼。

讓我們下載一份被破壞的.docx簡歷？
讓人分享螢幕並導航到Metamask？
獲得對我們代碼庫的訪問權並推送一個惡意的修改？

我把它留給互聯網來猜測。

實際上，我不知道這些人是否是朝鮮的黑客。Bobby可能只是一個非常無能的傢伙，但我的每一根纖維都說這不是事實。

除了恐懼和娛樂之外，我從這次奇怪的互動中學到了很多東西。

1）我們的整個世界是建立在信任之上的。如果有人向我們展示他們的簡歷和Github，我們就會相信它。

智慧合約的風險被高估了，任何事情都可以成為攻擊的載體：招聘、活動、旅行等等。
不要隨意下載附件，將你的錢包隔離在自己的機器上，等等。

後來，"Bobby "更新了他的Github，它指向一個全新的賬戶，現在有更多的代碼提交。

我相信這些人正在學習、適應、變得更聰明。

值得慶幸的是，他們無法解決他們是多麼他媽的脫節和無能。

我們只需要保持精明。

聯系郵箱：0xniumao@gmail.com

如何識別偽裝成開發者求職的朝鮮黑客？

相关推荐